SugarGh0st RAT cilja stručnjake za vještačku inteligenciju
Sigurnosna kompanija Proofpoint je nedavno identifikovala SugarGh0st RAT kampanju, koja je prilagođena varijanta starijeg trojanca pod nazivom Gh0st RAT. Kampanja cilja stručnjake za vještačku inteligenciju (eng. artificial intelligence – AI) u Sjedinjenim Američkim Državama, uključujući one u akademskoj zajednici, privatnoj industriji i vladinoj službi. Sigurnosna kompanija je kampanji dodijelila ime UNK_SweetSpecter.
SUGARGH0ST RAT
Cisco Talos sigurnosni istraživači su u novembru 2023. godine otkrili SugarGh0st i utvrdili da je on prilagođena varijanta Gh0st RAT zlonamjernog softvera. Gh0st RAT zlonamjerni softver je razvila kineska grupa pod nazivom Rufus Securiti Team, a njegov izvorni kôda je javno objavljen 2008. godine. Javno objavljivanje izvornog kôda je učinilo da zlonamjerni akteri lako dobiju pristup njemu i prilagode ga da ispuni njihove zle namjere. Postoji nekoliko varijanti Gh0st RAT zlonamjernog softvera u kibernetičkom prostoru i on ostaje preferirano sredstvo za mnoge aktere koji govore kineski, omogućavajući im da sprovode nadzor i špijunske napade.
U poređenju sa originalnim Gh0st RAT zlonamjernim softverom, SugarGh0st je opremljen nekim prilagođenim funkcijama sa svojim mogućnostima izviđanja u traženju specifičnih ključeva u sistemsim registrima za Open Database Connectivity – ODBC, učitavanju datoteka biblioteke sa određenim ekstenzijama datoteka i imenom funkcije, prilagođenim komandama za olakšavanje zadataka daljinske administracije u režiji C2, i da izbjegne ranija otkrivanja.
C2 komunikacioni protokol je takođe izmijenjen. Prvih osam bajtova zaglavlja mrežnog paketa rezervisano je kao magični bajtovi u odnosu na prvih pet u ranijim Gh0st RAT varijantama. Preostale funkcije, uključujući preuzimanje potpune daljinske kontrole nad zaraženom mašinom, obezbjeđivanje praćenja korisničkog unosa (eng. keylogging) u realnom vremenu i van mreže, povezivanja na veb kameru zaražene mašine i preuzimanje i pokretanje drugih proizvoljnih binarnih datoteka na zaraženom uređaju, usklađene su sa karakteristikama ranije Gh0st RAT varijante.
Kampanja
Napadači koji stoje iza SugarGh0st zlonamjernog softvera pokazali su veliki interes da ciljaju preduzeća, univerzitete i vladine agencije koji su povezani sa razvojem vještake inteligencije. Njihov primarni cilj je da dobiju neovlašteni pristup sistemima ovih organizacija za potencijalnu eksfiltraciju podataka ili dalju eksploataciju. Ova kampanja dolazi u vreme kada se kineski entiteti suočavaju sa ograničenjima pristupa tehnologijama koje podržavaju razvoj vještačke inteligencije, što čini vjerovatnim da će zlonamjerni akteri koji su povezani sa Kinom ciljati ljude koji imaju pristup takvim informacijama.
Kampanja UNK_SweetSpecter koristi besplatan naloge elektronske pošte za slanje elektronskih poruka koje sadrže zamke na temu vještačke inteligencije potencijalnim žrtvama. Sigurnosni istraživači smatraju da je korištenje besplatnih naloga elektronske pošte za slanje ovih ciljanih elektronskih poruka je pokušaj UNK_SweetSpecter kampanje da izbjegne otkrivanje i poveća vjerovatnoću da će njihove poruke biti otvorene. Ove elektronske poruke često sadrže zlonamjerne priloge ili veze koje, kada se kliknu, preuzimaju RAT na sistem žrtve. Jednom instaliran, SugarGh0st daje napadačima daljinski pristup i kontrolu nad zaraženim uređajem.
Funkcionisanje
Napad počinje kada potencijalne žrtve dobiju elektronsku poštu koja sadrži mamac sa temom vještačke inteligencije dizajniran da ih navede da otvore priloženu ZIP arhivu. Pošiljalac tvrdi da je naišao na probleme korištenjem određenog AI alata i traži pomoć ili prosljeđivanje problema tehničkom osoblju. Kada otvore arhivu, korisnici pronalaze zlonamjernu prečicu koja, kada se izvrši, primjenjuje JavaScript ubacivač koji sadrži posebno pripremljen dokumet, ActiveX alat za bočno učitavanje i šifrovanu binarnu datoteku.
Izvršenje ove prečice rezultira instalacijom SugarGh0st zlonamjernog softvera na kompromitovani sistem, koji se zatim povezuje sa C2 serverom napadača. Sigurnosni istraživači sumnjaju da je primarni cilj ove kampanje krađa generativnih tajni vještačke inteligencije. S obzirom na visoku vrijednost ovih tajni od strane napadača koji traže vrijedne informacije od velikih kompanija, ovo polje je postalo privlačna meta za zlonamjerne aktere.
ZAKLJUČAK
SugarGh0st RAT kampanja je usmjerena na američke organizacije uključene u vještačku inteligenciju i predstavlja značajnu prijetnju vrijednim podacima i intelektualnoj svojini ovih entiteta. Upotreba prilagođenih mamaca i besplatnih naloga elektronske pošte otežava tradicionalnim bezbjednosnim mjerama da efikasno otkriju i spriječe ove napade. Organizacije moraju ostati budne, obrazovati svoje zaposlene o potencijalnim prijetnjama i ulagati u napredna rješenja za sajber bezbjednost kako bi se zaštitile od takvih ciljanih kampanja.
ZAŠTITA
Da bi se efikasno zaštitili od zlonamjernog softvera SugarGh0st RAT i sličnih sajber prijetnji, organizacije i pojedinci povezani sa istraživanjem i razvojem vještačke inteligencije (AI) treba da razmotre sprovođenje sljedećih mjera:
- Biti oprezan sa phishing porukama elektronske pošte, posebno onima sa temama ili prilozima vezanim za vještačku inteligenciju. Koristiti filtere elektronske pošte kako bi se blokirale sumnjive poruke i edukovati zaposlene o prepoznavanju i prijavljivanju potencijalnih prijetnji,
- Implementirati autentifikaciju u više koraka (Multi-Factor Authentication – MFA) za sve naloge koji pristupaju osjetljivim informacijama. Ovo dodaje dodatni nivo bezbednosti zahtjevajući od korisnika da obezbijede dva ili više oblika identifikacije pre nego što dobiju pristup,
- Koristiti zaštitne zidove, sisteme za otkrivanje upada i druge alatke za bezbjednost mreže za nadgledanje i kontrolu odlaznog i dolaznog saobraćaja i redovno ažurirati ova rješenja kako bi se zaštitili od od najnovijih prijetnji,
- Instalirati softver za zaštitu krajnjih tačaka na svim uređajima koji se povezuju na mrežu organizacije. Osigurati redovna ažuriranja i skeniranja da kako bi se održale efikasne mogućnosti zaštite od zlonamjernog softvera,
- Sprovoditi stroge politike kontrole pristupa, kao što je pristup zasnovan na ulozi ili princip najmanje privilegija (eng. principle of least privilege – PoLP). Ovo ograničava mogućnost korisnika da pristupe samo podacima koji su im potrebni za obavljanje njihovih radnih funkcija,
- Koristiti tehnologije šifrovanja za zaštitu informacija i tokom prenosa i tokom mirovanja. Ovo može pomoći u sprečavanju neovlaštenog pristupa čak i ako napadač uspije da probije odbrambene mehanizme,
- Imati dobro definisan plan odgovora na sajber prijetnju, uključujući procedure za identifikaciju, obuzdavanje, iskorjenjivanje i oporavak od sajber napada i redovno testirati ovaj plan kroz simulacije ili vježbe,
- Biti informisan o najnovijim prijetnjama koje ciljaju na industriju organizacije ili zanimanje korisnika i pratiti izvore obavještajnih podataka o prijetnjama kako bi se rano mogle identifikovati potencijale napade. Ovo može uključivati praćenje mračnih internet foruma, skladišta zlonamjernog softvera i drugih izvora informacija o sajber kriminalu,
- Redovno obučavati zaposlene o najboljim bezbjednosnim praksama, uključujući upravljanje lozinkama, navike bezbjednog pregledanja interneta i prepoznavanje pokušaja „pecanja“. Podsticati kulturu budnosti i prijavljivanja sumnjivih aktivnosti IT odjeljenju ili bezbjednosnom timu.