TA547 cilja njemačke organizacije

AUTOR ·

Finansijski motivisana sajber kriminalna grupa TA547 cilja njemačke organizacije sa Rhadamanthys zlonamjernim softverom. Prema izvještaju kompanije Proofpoint, ovo je prvi put da je ovaj zlonamjerni akter povezan sa takvom aktivnošću.

TA547

TA547 cilja njemačke organizacije; Source: Bing Image Creator

TA547

TA547 je finansijski motivisan zlonamjerni akter koji je aktivan najmanje od novembra 2017. godine. Grupa je poznata po tome što vodi kampanje za krađu identiteta i koristi mamce elektronske pošte za isporuku raznih zlonamjernog softvera kao što su ZLoader, Gootkit, DanaBot, Ursnif, pa čak i Adhubllka ransomware. Posljednjih godina, TA547 grupa je evoluirala u posrednika za početni pristup (eng. initial access broker – IAB) za ransomware napade i primijećeno je da koristi trikove geofencinga kako bi ograničila teret na određene regione.

Vjeruje se da je grupa odgovorna za Rhadamanthys phishing kampanju usmjerenu na njemačke organizacije u aprilu 2024. godine, gdje je koristila PowerShell skriptu za koju istraživači sumnjaju da je generisan korištenjem velikog jezičkog modela (eng. large language model – LLM). TA547 grupa je takođe povezan sa korištenjem drugih alatki za sajber kriminal kao što su Trickbot, Lumma stealer, StealC, NetSupport RAT i Gozi.

 

NAPAD NA NJEMAČKE ORGANIZACIJE

Najnoviji razvoj događaja pokazuje evoluciju taktike TA547 grupe koja uključuje korištenje kôda generisanog vještačkom inteligencijom, kao što se vidi u njihovoj upotrebi PowerShell skripte za preuzimanje i izvršavanje Rhadamanthys zlonamjernog softvera.

U ovoj kampanji, Rhadamanthys zlonamjerni softver posebno cilja njemačke organizacije, a početni vektor napada su elektronske poruke o lažnom predstavljanju od entiteta kao što je Metro AG. Elektronske poruke sadrže ZIP datoteke zaštićene lozinkom koje skrivaju LNK datoteke. Kada se otvore, ove LNK datoteke pokreću PowerShell preuzimanje i vrše pokretanje skrivene skripte. Ova skripta dekodira i izvršava Base64 kodiran Rhadamanthys zlonamjerni softver u memoriji.

PowerShell skripta koju koristi TA547 grupa je nešto na što treba obratiti pažnju zbog njene prirode generisane vještačkom inteligencijom, na šta ukazuje pažljivo komentarisanje besprijekornom gramatikom, gdje je skoro svaki red je imao neki pridruženi komentar. – rijetkost u kôdu koji bi pisao čovjek. Sigurnosni istraživači su sugerisali da bi to moglo biti rezultat velikih jezičkih modela kao što su CoPilot, Gemini ili ChatGPT koje TA547 grupa koristi u svrhe skriptovanja ili uređivanja. Međutim, bitno je napomenuti da iako postoje indicije o umješnosti vještačke inteligencije, konačni dokaz nije pronađen.

 

“Ova kampanja predstavlja primjer nekih promjena tehnike sa TA547, uključujući korištenje kompresovanih LNK datoteka i ranije nezapaženog Rhadamanthys kradljivaca. Takođe pruža uvid u to kako zlonamjerni akteri koriste vjerovatno sadržaj koji je generisao LLM u kampanjama zlonamjernog softvera.”

 – Proofpoint –

 

Rhadamanthys zlonamjerni softver

Rhadamanthys je zlonamjerni softver napisan u C++ programskom jeziku i prvi put je primijećen 22. avgusta 2022. godine. Ovaj zlonamjerni softver i dalje dobija ažuriranja i redovne ispravke grešaka. Verzija 0.5.0 je omogućila zlonamjernim akterima prilagodljivi okvir koji im omogućava da se suprotstave bezbjednosnim mjerama i iskorišćavaju ranjivosti postavljanjem ciljanih dodataka kao što je Data Spy koji nadgleda RDP prijave. Tu su i poboljšanja u konstrukciji i izvršavanju, omogućavanje ciljanja novčanika kriptovaluta i prilagođavanja u akviziciji Discord tokena.

Verzija 0.5.1 je došla sa poboljšanim mogućnostima krađe i poboljšanjima koja uključuju novi sistem datoteka koji omogućava povećano prilagođavanje za različite potrebe distribucije. Zlonamjerni softver je postao moderniji i prilagodljivi. Tu je uključen dodatak Clipper, mogućnost oporavka izbrisanih Google kolačića naloga, opcije Telegram obavještenja i mogućnost Windows Defender izbjegavanja.

Rhadamanthys zlonamjerni softver funkcioniše kroz opciju zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS). Kompatibilan je sa raznim operativnim sistemima i prilagođen je da podržava x86 i x64 arhitekturu. Zlonamjerni akteri koji razvijaju ovaj zlonamjerni softver tvrde da je sva mrežna komunikacija šifrovana i da svaka struktura ima jedinstven ključ za šifrovanje.

Napadi TA547 grupe koji koriste Rhadamanthys kradljivac su izvršeni putem phishing elektronske pošte. U konkretnom slučaju, maskirni kao legitimna organizacija poput njemačke maloprodajne kompanije Metro AG, gdje su poruke elektronske pošte sadržavale ZIP datoteke zaštićene lozinkom koje su sadržale kompresovane LNK datoteke. Kada su LNK datoteke izvršene, pokrenule su PowerShell skriptu koja je preuzela Rhadamanthys zlonamjerni softver na sistem žrtve.

 

Zloupotreba velikih jezičkih modela

Veliki jezički modeli (LLM) privukli su značajnu pažnju u oblasti sajber bezbjednosti zbog njihove potencijalne upotrebe od strane legitimnih organizacija, ali i od strane zlonamjernih aktera. Veliki jezički modeli su napredni modeli vještačke inteligencije koji mogu da generišu tekst sličan čovjeku na osnovu datog unosa ili konteksta, što ih čini moćnim alatom za različite aplikacije. Posljednjih godina raste zabrinutost zbog toga kako bi zlonamjerni akteri mogli da iskoriste ove modele za kreiranje naprednih napada.

Zlonamjerni akteri neprestano razvijaju svoje taktike, tehnike i procedure (TTP) kako bi zaobišli mjere bezbjednosti i ostali neotkriveni. Integracija velikih jezičkih modela u njihov arsenal predstavlja novi izazov za profesionalce u sajber bezbolnosti, jer ovi modeli mogu da generišu veoma ubjedljiv sadržaj koji je teško razlikovati od teksta koji su generisali ljudi.

Jedna oblast u kojoj su zlonamjerni akteri pokazali interesovanje za korištenje velikih jezičkih modela su phishing napadi. Elektronske poruke  za “pecanje” su dizajnirane da prevare korisnike da pruže osjetljive informacije, kao što su akreditivi za prijavu ili finansijski podaci, tako što se prikrivaju kao pouzdani izvori. Tradicionalne phishing poruke elektronske pošte često sadrže loše gramatičke i pravopisne greške koje ih mogu odati. Međutim, uz pomoć velikih jezičkih modela, zlonamjerni akteri mogu da generišu veoma ubjedljive poruke koje su gramatički ispravne i kontekstualno relevantne za njihove mete.

Još jedna primjena velikih jezičkih modela za zlonamjerne aktere je kreiranje prilagođenog zlonamjernog softvera ili skripti. Zlonamjerni kôd često zahteva posebne instrukcije ili pokretače da bi se efikasno izvršio. Korištenjem velikih jezičkih modela, zlonamjerni akteri mogu kreirati prilagođeni sadržaj koji uključuje ova uputstva ili pokretače unutar samog kôda. Ovo ne samo da otežava bezbjednosnim rješenjima da otkriju i blokiraju napad, već i povećava njegovu efikasnost u izbjegavanju sistema za otkrivanje.

Kao što je već rečeno, kompanija Proofpoint je otkrila generisani zlonamjerni sadržaj od strane  velikih jezičkih modela. Ova kompanija je identifikovala TA547 grupu koji cilja njemačke organizacije sa kampanjom elektronske pošte koja isporučuje Rhadamanthys zlonamjerni softver. PowerShell skripta za koju se sumnja da je generisana korištenjem velikih jezičkih modela je pažljivo komentarisana besprijekornom gramatikom i skoro svaki red je imao neki pridruženi komentar. Ovaj nivo detalja je otežao bezbjednosnim rješenjima da naprave razliku između legitimnog i zlonamjernog kôda, naglašavajući potrebu za naprednim tehnikama detekcije koje mogu analizirati kontekstualne informacije osim teksta.

 

ZAKLJUČAK

TA547 je finansijski motivisana zlonamjerna grupa koja cilja različite geografske regione, a sada sa značajnim fokusom na Njemačku. Ova grupa isporučuje Rhadamanthys zlonamjerni softver kao jedan od svojih tereta protiv njemačkih ciljeva. Brza evolucija grupe i usvajanje novih tehnika, uključujući metode potpomognute vještačkom inteligencijom, predstavljaju značajnu prijetnju organizacijama širom sveta.

Ovo je zabrinjavajući razvoj događaja, jer naglašava rastuća sofisticiranost taktika i tehnika sajber kriminala. Korištenje velikih jezičkih modela od strane zlonamjernih aktera moglo bi dovesti do najnaprednijih, prilagođenih napada uz minimalnu ljudsku intervenciju. Na primjer, mogu da generišu isječke kôda ili skripte prilagođene određenim ciljevima ili ranjivostima, što ih čini težim za otkrivanje i odbranu od njih. Pored toga, veliki jezički modeli se mogu koristiti za automatizaciju procesa kreiranja phishing elektronske pošte, kampanja društvenog inženjeringa, ili čak generisanja varijanti zlonamjernog softvera koje zaobilaze postojeća bezbjednosna rješenja. Zato je veoma važno da organizacije ostanu informisane o ovim dešavanjima i da investiraju u napredna bezbjednosna rješenja koja mogu efikasno da otkriju i ublaže takve prijetnje.

 

ZAŠTITA

Da bi se zaštitile od zlonamjernog softvera Rhadamanthys i prijetnje od strane TA547 grupe, organizacije mogu da preduzmu nekoliko koraka:

  1. Implementirati bezbjednosna rješenja elektronske pošte koja mogu da otkriju i blokiraju elektronske poruke za krađu identiteta. Ovo uključuje korištenje filtera za neželjenu poštu, analize priloga u zaštićenom okruženju i analizu sadržaja elektronske pošte u potrazi za sumnjivim vezama ili prilozima. U ovom konkretnom slučaju, potrebno je obratiti pažnju na elektronsku poštu u koji se pošiljaoci lažno predstavljaju kao njemačke kompanije sa ZIP datotekama zaštićenim lozinkom koje sadrže PowerShell skripte,
  2. Osigurati da su sve krajnje tačke zaštićene najnovijim antivirusnim softverom i zaštitnim zidovima. Ovo će pomoći u sprečavanju preuzimanja ili izvršavanja zlonamjernog softvera na sistemima korisnika. Pored toga, potrebno je primijeniti smjernice za kontrolu aplikacija kako bi se ograničilo izvršavanje neodobrenih aplikacija,
  3. Pošto TA547 koristi PowerShell skripte u svojim napadima, važno je da se obezbijedi ova alatka. Primijeniti blokiranje PowerShell skripti i napraviti listu dozvoljenih PowerShell skripti za pokretanje kako bi se spriječilo izvršavanje potencijalno štetnih skripti. Pored toga, pratiti PowerShell evidencije u potrazi za bilo kakvom sumnjivom aktivnošću,
  4. Izvršiti edukaciju korisnika o phishing napadima i kako da ih identifikuju. Ovo uključuje obuku o najboljim praksama bezbjednosti elektronske pošte, kao što je provjera adresa pošiljaoca, traženje sumnjivih veza ili priloga i provjera zahteva za osjetljivim informacijama pre nego što se odgovori na njih,
  5. Primjenjivati autentifikaciju u više koraka (eng. Multi-Factor Authentication – MFA) za sve kritične sisteme i aplikacije. Ovo će dodati dodatni nivo bezbjednosti zahvaljujući od korisnika da obezbijede dodatnu verifikaciju kada se prijavljuju sa nepoznatih uređaja ili lokacija,
  6. Potrebno je imati dobro definisan plan odgovora na sajber prijetnju. On uključuje posjedovanje neophodnih alata, procesa i osoblja spremnog da brzo i efikasno odgovori na sve potencijalne sajber napade. Potrebno je i redovno testirati ovaj plan odgovora na sajber prijetnju kako bi se osiguralo da je efikasan,
  7. Biti informisan o najnovijim prijetnjama i trendovima napada prateći renomirane izvore obavještajnih podataka o prijetnjama. Ovo će pomoći da korisnici i organizacije budu ispred novih prijetnji kao što su Rhadamanthys zlonamjerni softver i TA547 grupa.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.