Bir tehdit oyuncusu, Openai's ChatGPT, Google'ın İkizleri veya Microsoft'un Copilot gibi yapay bir zeka sistemi yardımıyla oluşturulmuş bir PowerShell betiği kullanıyor.
Düşman, senaryoyu Mart ayında Rhadamanthys bilgi stealer'ı teslim etmek için Almanya'daki onlarca kuruluşu hedefleyen bir e -posta kampanyasında kullandı.
Siber güvenlik şirketi Proofpoint'teki araştırmacılar, saldırıyı TA547 olarak izlenen bir tehdit oyuncusuna atfetti ve ilk erişim brokeri (IAB) olduğuna inanıyorlardı.
Scully Spider olarak da bilinen TA547, en az 2017'den beri Windows (Zloader/Terdot, Gootkit, Ursnif, CoreBot, Panda Banker, Atmos) ve Android (Mazar Bot, Red Alert) sistemleri için çeşitli kötü amaçlı yazılımlar sunmaktadır.
Son zamanlarda, tehdit oyuncusu veri toplama özelliklerini (pano, tarayıcı, çerez) sürekli olarak genişleten Rhadamanthys modüler stealer'ı kullanmaya başladı.
Proofpoint 2017'den beri TA547'yi izliyor ve bu kampanyanın tehdit oyuncusunun Rhadamanthys kötü amaçlı yazılım kullanılarak gözlemlendiği ilk kampanyanın olduğunu söyledi.
Bilgi Stealer, Eylül 2022'den beri Hizmet Olarak Kötü Yazılım (MAAS) modeli altında birden fazla siber suç grubuna dağıtılmıştır.
Proofpoint araştırmacılarına göre, TA547, faturaları “Almanya'daki çeşitli endüstrilerdeki düzinelerce kuruluş” için bir cazibe olarak kullanan bir e-posta kampanyasında metro nakit ve taşıma Alman markasını taklit etti.
Mesajlar, kötü niyetli bir kısayol dosyası (.lnk) içeren 'MAR26' şifresi ile korunan bir zip arşivi içeriyordu. Kısayol dosyasına erişme, uzak bir komut dosyası çalıştırmak için PowerShell'i tetikledi.
“Bu PowerShell komut dosyası, bir değişkende depolanan ve bunu bir montaj olarak belleğe yükledi ve daha sonra montajın giriş noktasını yürüttü” - Pooppoint.
Araştırmacılar, bu yöntemin kötü amaçlı kodun diske dokunmadan bellekte yürütülmesine izin verdiğini açıklar.
Rhadamanthys'i yükleyen PowerShell betiğini analiz eden araştırmacılar, insan tarafından oluşturulan kodda nadiren nadiren her bir bileşen için bir pound/karma işareti (#) ve ardından belirli yorumlar içerdiğini fark ettiler.
Araştırmacılar, bu özelliklerin ChatGPT, İkizler veya Copilot gibi üretken AI çözümlerinden kaynaklanan kodlara tipik olduğunu belirtiyorlar.
PowerShell kodunun büyük bir dil modeli (LLM) çözümünden geldiğinden kesinlikle emin olmalarına rağmen, araştırmacılar senaryo içeriğinin PowerShell komut dosyasını yazmak veya yeniden yazmak için üretken AI kullanma olasılığını önerdiğini söylüyor.
Proofpoint Tehdit Araştırma Direktörü Daniel Blackford, BleepingComputer için geliştiricilerin kod yazmada mükemmel olmasına rağmen, yorumlarının genellikle şifreli veya en azından belirsiz ve dilbilgisi hatalarıyla açıklığa kavuşturuldu.
Blackford, Blackford, "LLM tarafından üretildiğinden şüphelenilen PowerShell senaryosu, kusursuz bir dilbilgisi ile titizlikle yorumlandı. Neredeyse her kod satırının ilgili bazı yorumları var."
Ayrıca, LLMS oluşturan LLM'lerle yapılan deneylerden elde edilen çıktılara dayanarak, araştırmacılar e -posta kampanyasında kullanılan komut dosyasının bu tür teknoloji kullanılarak oluşturulduğuna dair yüksek ila orta güvene sahiptir.
BleepingComputer, benzer bir PowerShell komut dosyası oluşturmak için chatgpt-4 kullandı ve çıktı kodu, değişken adları ve yorumlar da dahil olmak üzere ProofPoint tarafından görülen gibi görünüyordu, ayrıca AI'nın komut dosyasını oluşturmak için kullanıldığını gösterdi.
Başka bir teori, onu kodlama için üretken AI'ya dayanan bir kaynaktan kopyaladıklarıdır.
Openai, 2022'nin sonlarında CHATGPT'yi yayınladığından beri, finansal olarak motive edilen tehdit aktörleri, özelleştirilmiş veya yerelleştirilmiş kimlik avı e -postaları oluşturmak, ana bilgisayarlarda veya ağlardaki güvenlik açıklarını belirlemek veya son derece güvenilir kimlik avı sayfaları oluşturmak için ağ taramaları çalıştırmak için AI gücünden yararlanıyor.
Çin, İran ve Rusya ile ilişkili bazı ulus-devlet aktörleri de hedefleri, siber güvenlik araçlarını ve kalıcılık ve tespiti oluşturma yöntemlerini araştırırken üretkenliği artırmak için üretken AI'ya yöneltiler.
Şubat ayının ortalarında Openai, devlet destekli hacker grupları ile ilişkili hesapları engellediğini açıkladı ve kötü niyetli için chatgpt'i kötüye kullanan chatgpt'i kötüye kullanma amaçlar.
Çoğu büyük dil öğrenme modelleri, kötü amaçlı yazılım veya kötü niyetli davranışlar için kullanılabiliyorsa çıktıyı kısıtlamaya çalıştığından, tehdit aktörleri siber suçlular için kendi AI sohbet platformlarını başlattılar.
GÜNCELLEME [16:40 EST]: Proofpoint Tehdit Araştırma Direktörü Daniel Blackford'dan Pubilishing Saati'nden sonra alınan açıklamalar eklendi.
Sahte Facebook Midjourney AI Page, 1.2 milyon kişiye kötü amaçlı yazılım tanıttı
PYPI, kötü amaçlı yazılım kampanyasını engellemek için yeni kullanıcı kaydını askıya alıyor
Hackerlar En Büyük Discord Bot Platformundan Kaynak Kodu
100'den fazla ABD ve AB orgs Strelastealer kötü amaçlı yazılım saldırılarını hedef aldı
Chrome Enterprise premium güvenlik alır ancak bunun için ödeme yapmanız gerekir
Kaynak: Bleeping Computer