多家德国组织遭受网络攻击

Proofpoint警告称,TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。

Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者,通过发送Rhadamanthys恶意软件的电子邮件活动攻击德国组织。

TA547是一个受利益的威胁行为者,至少从2017年11月开始就一直活跃,它被观察到进行了多次活动,以交付各种Android和Windows恶意软件,包括DanaBot、Gootkit、Lumma stealer、NetSupport RAT、Ursnif和ZLoader。

该组织还作为初始访问代理(IAB)运营,并以不同的地理区域为目标。

研究人员指出,这是第一个使用此恶意软件家族的TA547集团。在过去的活动中,该组织使用了可能由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的PowerShell脚本。

微信图片_20240415162345

TA547集团假冒德国零售公司Metro向受害者发送电子邮件,据称与发票有关。这些消息包含一个密码保护的ZIP文件,打开后包含一个链接文件。执行链接文件时,它会触发PowerShell运行远程PowerShell脚本。远程PowerShell脚本解码了存储在变量中的Base64编码的Rhadamanthys可执行文件,并将其作为程序集加载到内存中,然后执行它。专家们注意到,恶意代码直接在内存中执行,而没有将任何工件写入磁盘。“值得注意的是,当解混淆时,用于加载Rhadamanthys的第二个PowerShell脚本包含有趣的特征,这些特征在威胁行为者(或合法程序员)使用的代码中通常不常见。

具体来说,PowerShell脚本在脚本的每个组件上方都包含一个磅符号,后面跟着语法正确且超特定的注释。” Proofpoint发布的报告中写道。“这是LLM生成的编码内容的典型输出,表明TA547使用了某种类型的LLM启用工具来编写(或重写)PowerShell,或从其他使用过它的来源复制了脚本。”

这次活动表明威胁行为者的技术转变,利用压缩链接和以前未见过的Rhadamanthys窃取恶意软件。

专家们还发现了在恶意软件活动中使用LLM的企图。

报告总结道:“LLM可以帮助威胁行为者理解其他威胁行为者使用的更复杂的攻击链,使他们能够在理解功能后重新使用这些技术。就像LLM生成的社会工程诱饵一样,威胁行为者可能会将这些资源纳入整个活动中。”

“然而,值得注意的是,虽然TA547将可疑的LLM生成的内容纳入整个攻击链,但它并没有改变恶意软件的功能或效力,也没有改变安全工具对它的防御方式。在这种情况下,潜在的LLM生成的代码是一个脚本,它有助于交付恶意软件的有效载荷,但没有观察到它改变了有效载荷本身。”

 


转自E安全,原文链接:https://mp.weixin.qq.com/s/HJiuPyuiO6HSUSJRJbtp3Q

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容