Muhtemelen Çinli bir tehdit aktörü, ABD şirketleri, devlet kurumları ve akademideki yapay zeka uzmanlarından bilgi çalmak için kötü şöhretli Gh0st RAT kötü amaçlı yazılımının yeni bir versiyonunu kullanıyor.
Güvenlik tedarikçisi Proofpoint’teki araştırmacılar, kampanyayı ilk olarak bu ayın başlarında fark etti ve arkasındaki daha önce bilinmeyen tehdit aktörünü “UNK_SweetSpecter” olarak takip ediyor.
Süper Hedefli SugarGh0st Kampanyası
İçinde 16 Mayıs’ta açıklanan raporgüvenlik sağlayıcısı, grubun son derece seçici bir yapay zeka uzmanları listesine SugarGh0st adı verilen bir uzaktan erişim truva atını (RAT) dağıtmak için yapay zeka temalı bir kimlik avı tuzağı kullandığını tespit etti. Proofpoint, “Mayıs 2024 kampanyası 10’dan az kişiyi hedef alıyor gibi görünüyor ve bunların hepsinin açık kaynak araştırmasına göre önde gelen ABD merkezli tek bir yapay zeka organizasyonuyla doğrudan bağlantısı var gibi görünüyor” dedi.
En azından şu ana kadar kötü niyetli aktiviteyi bilinen herhangi bir ulus devlet tehdit aktörü veya hedefiyle ilişkilendirmeye yetecek kadar telemetri yok. “[But] Proofpoint, “Özellikle bir yapay zeka aracına gönderme yapan cazibe teması, yapay zeka uzmanlarının hedeflenmesi, ‘teknik personel’ ile bağlantı kurmaya olan ilgi, belirli bir yazılıma olan ilgi ve bu kampanyanın yüksek oranda hedeflenen doğası dikkat çekicidir” dedi. amaç, üretken yapay zeka hakkında kamuya açık olmayan bilgiler elde etmekti.”
Özelleştirilmiş Gh0st RAT Çeşiti
Cisco Talos araştırmacıları ilk kez fark etti SugarGh0st kötü amaçlı yazılımı geçen Kasım ayında şüpheli bir Çinli tehdit aktörü tarafından kullanıldı. siber casusluk ve gözetleme kampanyası Özbekistan ve Güney Kore’deki hükümet yetkililerini hedef alıyor. Şirketin kötü amaçlı yazılıma ilişkin analizi, bunun, ilk kez 2008 yılında C. Rufus Güvenlik Ekibi adlı bir Çin tehdit grubunun kaynak kodunu kamuya açık hale getirmesiyle ortaya çıkan bir uzaktan yönetim aracı olan Gh0st RAT’ın özel bir çeşidi olduğunu gösterdi. O zamandan bu yana, ulus devlet aktörleri de dahil olmak üzere çok sayıda Çinli grup, aktifliğini koruyan çok sayıda kampanya ve saldırıda bu yöntemi kullandı.
Cisco Talos, SugarGh0st’in Gh0st RAT’tan birkaç önemli açıdan farklı olduğunu ve ona göre bir gelişme olduğunu buldu. Örneğin SugarGh0st, belirli hedeflere yönelik keşif yetenekleriyle tasarlanmış gibi görünüyor. Kötü amaçlı yazılımın yeni yetenekleri arasında, muhtemelen veri sızdırma ve yanal hareket amacıyla belirli Açık Veritabanı Bağlantısı (OBDC) kayıt defteri anahtarlarını aramasına ve tanımlamasına olanak tanıyan bir özellik yer alıyor. Yeni sürüm aynı zamanda belirli dosya uzantılarına ve işlev adlarına sahip kitaplık dosyalarından kötü amaçlı kod yükleme ve yürütme yeteneğini de destekliyor. Ek olarak, uzak operatörlere komut ve kontrol (C2) arayüzü aracılığıyla özel komutlar verme olanağı sağlar.
Cisco Talos, SugarGh0st’in diğer temel özelliklerinin birçoğunun orijinal Gh0st RAT kötü amaçlı yazılımında bulunanlara benzer olduğunu değerlendirdi. Bunlar arasında virüslü makinenin tam uzaktan kontrolünü, gerçek zamanlı ve çevrimdışı tuş kaydetmeyi, sistem web kamerası aracılığıyla casusluk yapmayı ve ek kötü amaçlı yazılım indirmeyi sağlayan özellikler vardı.
Yapay Zeka Temalı Cazibesi
UNK_SweetSpecter kampanyasında Proofpoint, tehdit aktörünün ücretsiz bir hesap kullanarak hedeflere zip arşivi eklenmiş yapay zeka temalı bir e-posta gönderdiğini gözlemledi. E-postanın, belirli bir AI aracını kullanırken sorunlarla karşılaşan bir kullanıcıdan geldiği iddia edildi. Kullanıcının iddia edilen sorunla ilgili sorularına yanıt verilmesi veya ekteki belgedeki soruların ilgili teknik personele iletilmesi konusunda alıcıdan yardım istendi.
Proofpoint, teslimatın ardından, ekli zip dosyasının, Cisco Talos’un geçen yıl SugarGh0st analizinde açıkladığı dosyanın neredeyse aynısı olan bir kısayol dosyasını ele geçirilen sisteme bıraktığını söyledi. Kısayol dosyası, tümü Base64’te kodlanmış bir sahte belge, dışarıdan yükleme için bir ActiveX aracı ve şifrelenmiş bir ikili dosya içeren bir JavaScript damlatıcısını konuşlandırdı. Enfeksiyon zinciri, SugarGh0st’in kurbanın sistemine konuşlandırılması ve saldırganın kontrol ettiği bir C2 sunucusuyla iletişim kurmasıyla sona erdi.
Proofpoint, kampanyanın muhtemelen Çin’e bağlı bir aktörün siber hırsızlık yoluyla üretken yapay zeka sırlarını toplama girişimi olduğunu öne sürdü. son raporlar ABD hükümetinin Çin’in üretken yapay zeka teknolojilerine erişimini kısıtlama çabaları. Bu yılın başında ABD Adalet Bakanlığı bir Google yazılım mühendisine dava açıldı şirketten yapay zeka sırlarını çalmak ve bunu kendi kurduğu biri de dahil olmak üzere Çin’deki yapay zeka ile ilgili iki teknoloji şirketinde kullanmaya teşebbüs etmekle suçlanıyor.
Proofpoint, “Çinli kuruluşların yapay zeka gelişimini destekleyen teknolojilere erişimi kısıtlanırsa, Çin’e bağlı siber aktörlerin, Çin’in daha ileri kalkınma hedeflerine ulaşmak için bu bilgilere erişimi olan kişileri hedef alması mümkündür.” değerlendirmesinde bulundu.