Получение инфраструктуры

Оригинал: Acquire Infrastructure

Злоумышленники могут покупать, арендовать или брать во временное пользование инфраструктуру для использования на протяжении своей операции.

Для размещения и оркестрации операций злоумышленников существует широкий спектр инфраструктуры.

Инфраструктурные решения включают физические или облачные серверы, домены, мобильные устройства и сторонние веб-сервисы.

Бесплатные ресурсы также могут использоваться, но обычно они ограничены.

Инфраструктура также может включать физические компоненты, например средства противодействия, которые ухудшают работу или нарушают функционирование компонентов ИИ или датчиков, включая печатные материалы, носимые устройства или маскировку.

Использование таких инфраструктурных решений позволяет злоумышленнику подготавливать, запускать и выполнять операцию.

Такие решения могут помогать операциям злоумышленника сливаться с трафиком, который воспринимается как нормальный, например с обращениями к сторонним веб-сервисам.

В зависимости от реализации злоумышленники могут использовать инфраструктуру, которую трудно физически связать с ними, а также инфраструктуру, которую можно быстро развернуть, изменить и отключить.

Тактики

Подтехники

Примеры процедур из кейсов

AML.CS0029Эксфильтрация разговоров Google BardАктор: Embrace the Red / Тактика: AML.TA0003 Подготовка ресурсов

Исследователь установил, что Google Apps Script можно вызвать через URL на `script.google.com` или `googleusercontent.com` и настроить так, чтобы аутентификация не требовалась. Это позволяет вызвать скрипт без срабатывания Content Security Policy Bard.

AML.CS0051Использование OpenClaw для командования и управления через промпт-инъекциюАктор: HiddenLayer / Тактика: AML.TA0003 Подготовка ресурсов

Исследователи приобрели домен `aisystem.tech` для размещения вредоносного скрипта и промптов.

AML.CS0057Storm-2139: обход защитных ограничений Azure OpenAIАктор: Storm-2139 / Тактика: AML.TA0003 Подготовка ресурсов

Storm-2139 приобрела инфраструктуру для поддержки сервиса, который продавал доступ к Azure OpenAI Service с обходом защитных ограничений.

AML.CS0060Межсайтовый скриптинг (XSS) через манипуляцию промптом в ИИ-чат-боте LenovoАктор: Cybernews Research Team / Тактика: AML.TA0003 Подготовка ресурсов

Исследователи развернули сервер для получения чувствительной информации, эксфильтрированной из уязвимого LLM-сервиса.