多家德国组织遭受网络攻击
2024-4-15 15:28:15 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

摘要

Proofpoint警告称,TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。 

Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者,通过发送Rhadamanthys恶意软件的电子邮件活动攻击德国组织。

TA547是一个受利益的威胁行为者,至少从2017年11月开始就一直活跃,它被观察到进行了多次活动,以交付各种Android和Windows恶意软件,包括DanaBot、Gootkit、Lumma stealer、NetSupport RAT、Ursnif和ZLoader。

该组织还作为初始访问代理(IAB)运营,并以不同的地理区域为目标。 

研究人员指出,这是第一个使用此恶意软件家族的TA547集团。在过去的活动中,该组织使用了可能由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的PowerShell脚本。

TA547集团假冒德国零售公司Metro向受害者发送电子邮件,据称与发票有关。这些消息包含一个密码保护的ZIP文件,打开后包含一个链接文件。

执行链接文件时,它会触发PowerShell运行远程PowerShell脚本。远程PowerShell脚本解码了存储在变量中的Base64编码的Rhadamanthys可执行文件,并将其作为程序集加载到内存中,然后执行它。

专家们注意到,恶意代码直接在内存中执行,而没有将任何工件写入磁盘。“值得注意的是,当解混淆时,用于加载Rhadamanthys的第二个PowerShell脚本包含有趣的特征,这些特征在威胁行为者(或合法程序员)使用的代码中通常不常见。

具体来说,PowerShell脚本在脚本的每个组件上方都包含一个磅符号,后面跟着语法正确且超特定的注释。” Proofpoint发布的报告中写道。“这是LLM生成的编码内容的典型输出,表明TA547使用了某种类型的LLM启用工具来编写(或重写)PowerShell,或从其他使用过它的来源复制了脚本。

这次活动表明威胁行为者的技术转变,利用压缩链接和以前未见过的Rhadamanthys窃取恶意软件。

专家们还发现了在恶意软件活动中使用LLM的企图。报告总结道:“LLM可以帮助威胁行为者理解其他威胁行为者使用的更复杂的攻击链,使他们能够在理解功能后重新使用这些技术。就像LLM生成的社会工程诱饵一样,威胁行为者可能会将这些资源纳入整个活动中。

“然而,值得注意的是,虽然TA547将可疑的LLM生成的内容纳入整个攻击链,但它并没有改变恶意软件的功能或效力,也没有改变安全工具对它的防御方式。在这种情况下,潜在的LLM生成的代码是一个脚本,它有助于交付恶意软件的有效载荷,但没有观察到它改变了有效载荷本身。

原文来源:E安全
“投稿联系方式:010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247543289&idx=3&sn=77432600b995dd8fde1f2890e2dcad65&chksm=c1e9a5a8f69e2cbec8d9c539d345d64f87703ae51cdd05bfa0ccc3de5d8b1152cc55f89fea06&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh