网络安全研究人员最近发现一项 SugarGh0st RAT 活动,针对美国参与人工智能领域组织,包括学术界、私营企业和政府服务机构。
2024 年 5 月的活动被称为 UNK_SweetSpecter,使用 SugarGh0st RAT,这是一种根据 Gh0stRAT 定制的远程访问木马,是 Gh0stRAT 的定制变体。
Gh0stRAT 是一种较旧的商品木马,变体被用于针对与人工智能相关的实体,SugarGh0st RAT 历来被用于针对中亚和东亚的目标用户。
Proofpoint 发布的一份报告中描述,这些攻击利用免费电子邮件帐户来分发以 AI 为主题的诱饵,诱使收件人打开 zip 附件。
此后,感染链与思科 Talos之前发现的模式非常相似。值得注意的是,攻击者修改了注册表项名称以实现持久性,并利用了不同的命令和控制 (C2) 服务器。
Proofpoint 分析显示,UNK_SweetSpecter 将 C2 通信转移到了新域 account.gommask[.]online,这凸显了攻击者的敏捷性。
自初次报告以来,SugarGh0st RAT 仅参与了少数活动,表明其行动具有高度针对性。目标包括一家美国电信公司、一家国际媒体组织和一家南亚政府组织,几乎所有收件人的电子邮件地址似乎都是公开的。
Proofpoint写道:“虽然这些活动没有利用技术复杂的恶意软件或攻击链,但[我们的]遥测支持评估所识别的活动极具针对性。”
“2024 年 5 月的攻击活动似乎针对不到 10 个人,根据开源研究,所有这些人似乎都与美国领先的人工智能组织有直接联系。”
Proofpoint 无法将这些活动高度可信地归因于特定的黑客组织。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/iEXzE0TTvQ_NTxovy_fqBQ
暂无评论内容