Proofpoint警告称,TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。
Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者,通过发送Rhadamanthys恶意软件的电子邮件活动攻击德国组织。
TA547是一个受利益的威胁行为者,至少从2017年11月开始就一直活跃,它被观察到进行了多次活动,以交付各种Android和Windows恶意软件,包括DanaBot、Gootkit、Lumma stealer、NetSupport RAT、Ursnif和ZLoader。
该组织还作为初始访问代理(IAB)运营,并以不同的地理区域为目标。
研究人员指出,这是第一个使用此恶意软件家族的TA547集团。在过去的活动中,该组织使用了可能由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的PowerShell脚本。
具体来说,PowerShell脚本在脚本的每个组件上方都包含一个磅符号,后面跟着语法正确且超特定的注释。” Proofpoint发布的报告中写道。“这是LLM生成的编码内容的典型输出,表明TA547使用了某种类型的LLM启用工具来编写(或重写)PowerShell,或从其他使用过它的来源复制了脚本。”
这次活动表明威胁行为者的技术转变,利用压缩链接和以前未见过的Rhadamanthys窃取恶意软件。
专家们还发现了在恶意软件活动中使用LLM的企图。
报告总结道:“LLM可以帮助威胁行为者理解其他威胁行为者使用的更复杂的攻击链,使他们能够在理解功能后重新使用这些技术。就像LLM生成的社会工程诱饵一样,威胁行为者可能会将这些资源纳入整个活动中。”
“然而,值得注意的是,虽然TA547将可疑的LLM生成的内容纳入整个攻击链,但它并没有改变恶意软件的功能或效力,也没有改变安全工具对它的防御方式。在这种情况下,潜在的LLM生成的代码是一个脚本,它有助于交付恶意软件的有效载荷,但没有观察到它改变了有效载荷本身。”
转自E安全,原文链接:https://mp.weixin.qq.com/s/HJiuPyuiO6HSUSJRJbtp3Q
暂无评论内容