bencede
New member
TA547 grubundan siber suçlular, devam eden bir kampanya kapsamında Rhadamanthys bilgi hırsızı kötü amaçlı yazılımını dağıtıyor. Suç örgütü özellikle sahte büyükşehir faturalarıyla Alman şirketlerine saldırıyor. Kampanyanın özelliği, kötü amaçlı yazılımın bazı kısımlarının görünüşe göre yapay zeka, ChatGPT ve benzeri gibi büyük bir dil modeli kullanılarak oluşturulmuş olmasıdır.
Duyuru
APT TA547 grubu sahte Metro e-postalarını kullanarak Rhadamanthys kötü amaçlı yazılımını dağıtmaya çalışıyor.
(Resim: Kanıt Noktası)
Proofpoint'in analizine göre saldırganlar güvenilir gönderen adresleri kullanıyor ancak “Fatura No: 31518562” gibi uzun süredir şüpheli konular kullanıyor. E-postaya eklenen dosya şifre korumalıdır ve “in3 0gc-(94762)_6563.zip” gibi şifreli adlara sahiptir. Bu tür e-postalar birden fazla sektördeki düzinelerce kuruluşa dağıtıldı.
Metro E-postası: Yapay zeka tarafından oluşturulan kötü amaçlı yazılım komut dosyası
ZIP arşivinde bir .lnk dosyası var. Başlattığınızda Powershell'i açar ve ağdan bir Powershell betiği çalıştırması istenir. Betik, Base64 kodlu Rhadamanthys kötü amaçlı yazılımının kodunu bir değişkenden çözer, belleğe yükler ve kötü amaçlı yazılımın giriş noktasına atlar. Bu, kötü amaçlı kodun bir sürücüye yazılmadan yalnızca bellekte çalıştığı anlamına gelir.
İkinci Powershell betiği, genellikle suçluların veya meşru programcıların kodlarında bulunmayan özellikleri içerir. Bu durumda, yazı çift çarpı sembolü gibi bir şey içeriyordu ve bunu yazının her bir bileşeninin üzerinde dilbilgisi açısından doğru ve çok spesifik yorumlar takip ediyordu.
Proofpoint analistleri bunun LLM tarafından oluşturulan program içeriğinin tipik bir çıktısı olduğunu yazıyor. Bu, TA547'nin Powershell betiğini yazmak veya yeniden yazmak için Yüksek Lisans destekli araçları kullandığını gösteriyor. Veya komut dosyasını programlama için yapay zeka kullanan başka bir kaynaktan kopyaladıklarını. Kötü amaçlı içeriklerin yapay zeka kullanılarak oluşturulduğunu kanıtlamak zor ancak bu tür içeriklerde, insan tarafından üretilen bilgilerden ziyade makineler tarafından üretilen bilgilere işaret eden belirgin ipuçları bulunuyor.
TA547, çeşitli bölgelerde ilk erişim aracısı (IAB) olarak görev yapan, finansal motivasyona sahip bir siber çetedir. Almanya'nın yanı sıra Avusturya, İsviçre, İspanya ve Amerika Birleşik Devletleri'nde de faaliyet göstermektedir. Ayrıca NetSupport RAT, StealC veya Lumma Stealer gibi diğer kötü amaçlı yazılımları da dağıttı.
Analizde, Proofpoint'teki BT adli tıp uzmanları aynı zamanda uzlaşma göstergelerini (IOC) de listeliyor. İlgilenenler bu ipuçlarını kullanarak bu kötü amaçlı yazılımın kurbanı olup olmadıklarını görebilirler.
Yapay zeka tabanlı kötü amaçlı yazılımlar ve kimlik avı saldırıları birkaç aydır gözlemleniyor. Yapay zekanın siber suçlular tarafından kullanımı artık giderek yaygınlaşıyor gibi görünüyor.
Güncelleme
11 Nisan 2024,
15.48
Saat
Metinde “karma” ve “#” arasında olduğu varsayılan tutarsızlığa yapılan referans kaldırıldı. Çift çarpı bazen İngilizce'de pound işareti olarak adlandırılır (daha yaygın olanı “sayı işaretidir”) ve esas olarak pound işaretiyle (£) ilişkilidir.
(Bilmiyorum)
Haberin Sonu
Duyuru
APT TA547 grubu sahte Metro e-postalarını kullanarak Rhadamanthys kötü amaçlı yazılımını dağıtmaya çalışıyor.
(Resim: Kanıt Noktası)
Proofpoint'in analizine göre saldırganlar güvenilir gönderen adresleri kullanıyor ancak “Fatura No: 31518562” gibi uzun süredir şüpheli konular kullanıyor. E-postaya eklenen dosya şifre korumalıdır ve “in3 0gc-(94762)_6563.zip” gibi şifreli adlara sahiptir. Bu tür e-postalar birden fazla sektördeki düzinelerce kuruluşa dağıtıldı.
Metro E-postası: Yapay zeka tarafından oluşturulan kötü amaçlı yazılım komut dosyası
ZIP arşivinde bir .lnk dosyası var. Başlattığınızda Powershell'i açar ve ağdan bir Powershell betiği çalıştırması istenir. Betik, Base64 kodlu Rhadamanthys kötü amaçlı yazılımının kodunu bir değişkenden çözer, belleğe yükler ve kötü amaçlı yazılımın giriş noktasına atlar. Bu, kötü amaçlı kodun bir sürücüye yazılmadan yalnızca bellekte çalıştığı anlamına gelir.
İkinci Powershell betiği, genellikle suçluların veya meşru programcıların kodlarında bulunmayan özellikleri içerir. Bu durumda, yazı çift çarpı sembolü gibi bir şey içeriyordu ve bunu yazının her bir bileşeninin üzerinde dilbilgisi açısından doğru ve çok spesifik yorumlar takip ediyordu.
Proofpoint analistleri bunun LLM tarafından oluşturulan program içeriğinin tipik bir çıktısı olduğunu yazıyor. Bu, TA547'nin Powershell betiğini yazmak veya yeniden yazmak için Yüksek Lisans destekli araçları kullandığını gösteriyor. Veya komut dosyasını programlama için yapay zeka kullanan başka bir kaynaktan kopyaladıklarını. Kötü amaçlı içeriklerin yapay zeka kullanılarak oluşturulduğunu kanıtlamak zor ancak bu tür içeriklerde, insan tarafından üretilen bilgilerden ziyade makineler tarafından üretilen bilgilere işaret eden belirgin ipuçları bulunuyor.
TA547, çeşitli bölgelerde ilk erişim aracısı (IAB) olarak görev yapan, finansal motivasyona sahip bir siber çetedir. Almanya'nın yanı sıra Avusturya, İsviçre, İspanya ve Amerika Birleşik Devletleri'nde de faaliyet göstermektedir. Ayrıca NetSupport RAT, StealC veya Lumma Stealer gibi diğer kötü amaçlı yazılımları da dağıttı.
Analizde, Proofpoint'teki BT adli tıp uzmanları aynı zamanda uzlaşma göstergelerini (IOC) de listeliyor. İlgilenenler bu ipuçlarını kullanarak bu kötü amaçlı yazılımın kurbanı olup olmadıklarını görebilirler.
Yapay zeka tabanlı kötü amaçlı yazılımlar ve kimlik avı saldırıları birkaç aydır gözlemleniyor. Yapay zekanın siber suçlular tarafından kullanımı artık giderek yaygınlaşıyor gibi görünüyor.
Güncelleme
11 Nisan 2024,
15.48
Saat
Metinde “karma” ve “#” arasında olduğu varsayılan tutarsızlığa yapılan referans kaldırıldı. Çift çarpı bazen İngilizce'de pound işareti olarak adlandırılır (daha yaygın olanı “sayı işaretidir”) ve esas olarak pound işaretiyle (£) ilişkilidir.
(Bilmiyorum)
Haberin Sonu