Хакерская группировка TA547 проводит атаки против множества немецких организаций с применением известного вредоносного ПО Rhadamanthys, которое является стилером (похитителем информации). В новом отчёте профильной компании по информационной безопасности Proofpoint говорится о том, что это первый случай, когда эта хакерская группа занимается подобной деятельностью.
Аналитики также отмечают, что основной особенностью проводимых хакерской группировкой TA547 атак является очевидное использование актёром сценария PowerShell, вероятно, созданного с помощью больших языковых моделей (LLM), таких как ChatGPT, Gemini или CoPilot.
Выдавая себя за известную немецкую розничную компанию Metro, хакеры из TA547 рассылали электронные письма, касающиеся счетов. Эти электронные письма, отправленные многочисленным организациям из разных отраслей в Германии, содержали защищённый паролем ZIP-файл, содержащий файл LNK.
После выполнения этот файл LNK запускал PowerShell для запуска удалённого сценария, в конечном итоге загружая и запуская вредоносное ПО Rhadamanthys непосредственно в системную память, минуя необходимость записи на диск.
Примечательно, что сценарий PowerShell демонстрировал характеристики, необычные для кода типичного хакера или реального программиста, что указывает на возможное участие LLM. К таким факторам относятся грамматически правильные и гиперконкретные комментарии над каждым компонентом сценария, что является отличительной чертой контента, создаваемого LLM.
По словам аналитиков Proofpoint, эта кампания показывает стратегический сдвиг в деятельности хакеров из группы TA547, включая использование сжатых LNK и появление Rhadamanthys. Это также показывает, как злоумышленники используют подозрительный контент, созданный LLM, в своих вредоносных действиях.
В Proofpoint также отмечают, хотя злоумышленники могут использовать LLM для понимания сложных цепочек атак и потенциального улучшения своих кампаний, это не влияет на функциональность или эффективность вредоносного ПО. Фактически, компания считает, что большинство механизмов обнаружения на основе поведения остаются эффективными независимо от происхождения вредоносного программного обеспечения.
Оригинал публикации на сайте CISOCLUB: "Хакеры начали атаковать Германию помощью вредоносного ПО Rhadamanthys".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
