Bilgisayar Korsanları Özelleştirilmiş RAT ile ABD’li Yapay Zeka Uzmanlarını Hedef Alıyor

Proofpoint araştırmacıları Perşembe günkü bir blog yazısında, UNK_SweetSpecter adlı tehdit aktörünün, uzaktan erişim Truva atını yaymak için yapay zeka temalı bir e-posta kimlik avı tuzağı kullanan uzmanları hedef alan “belirli bir yazılımla” ilgilendiğini söyledi.

Araştırmacılar, şirketin kimliğini belirtmeden, suç grubunun hedef listesinde 10’dan az teknik personelin bulunduğunu ve bunların hepsinin “önde gelen ABD merkezli bir AI organizasyonuyla” bağlantısı olduğunu söyledi. Kötü aktörün büyük olasılıkla üretken yapay zeka hakkında kamuya açık olmayan bilgilere erişmeye çalıştığını söylediler.

Araştırmacılar, kampanyayı ilk olarak bu ayın başlarında fark ettiler ancak “kötü niyetli aktiviteyi bilinen herhangi bir ulus devlet tehdit aktörü veya hedefiyle ilişkilendirmeye yetecek kadar telemetri” olmadığını söyledi.

SugarGh0st RAT ilk olarak Kasım ayında Cisco Talos tarafından, Özbekistan ve Güney Koreli hükümet yetkililerine karşı siber casusluk ve gözetim kampanyası yürüten Çince konuşan bir tehdit aktörünün tespit edilmesiyle rapor edildi.

Gh0stRAT’ın özelleştirilmiş versiyonu, 2008 yılında C. Rufus Security adlı Çinli bir hacker grubunun kaynak kodunu kamuya açık hale getirmesiyle ortaya çıktı; bu durum, ulus devletlerin ve suç aktörlerinin onu çeşitli tehdit kampanyalarında kullanmasına yol açtı. Bilgisayar korsanları, çoğu durumda halka açık e-posta adresleri aracılığıyla bir ABD telekomünikasyon şirketini, uluslararası bir medya kuruluşunu ve bir Güney Asya hükümet kuruluşunu hedeflemek için SugarGh0st RAT’ı kullandı.

SugarGh0st, Gh0st RAT’ın virüs bulaşmış makinenin tam uzaktan kontrolünü etkinleştirme, gerçek zamanlı ve çevrimdışı tuş kaydetme, sistem web kamerası aracılığıyla casusluk yapma ve ek kötü amaçlı yazılım indirme gibi birçok özelliğini taşıyor.

Diğer yönlerden orijinalinden daha iyi. Birincisi, yeni varyant, belirli hedeflere yönelik keşif yeteneklerine sahip olacak şekilde tasarlandı; bu, bilgisayar korsanlarının yatay olarak hareket etmek ve verileri sızdırmak için kullanabileceği belirli Açık Veritabanı Bağlantısı kayıt defteri anahtarlarını aramasına olanak tanıyor. Güncellenen sürüm ayrıca belirli dosya uzantılarına ve işlev adlarına sahip kitaplık dosyalarından kötü amaçlı kod yükleyebilir ve çalıştırabilir. Uzak operatörler, komut ve kontrol arayüzü aracılığıyla özel komutlar vermek için yeni varyantı kullanabilir.

Proofpoint, son kampanyada, bilgisayar korsanının ücretsiz bir e-posta hesabı kullanarak hedeflere, bir yapay zeka aracıyla ilgili sorunlarla ilgili sorular içerdiğini iddia ettiği bir zip arşivi gönderdiğini söyledi. İlgili teknik personelden yardım istiyorlardı. Ekteki zip dosyası indirildiğinde, Cisco Talos’un geçen yılki orijinal SugarGh0st analizinde bulduğuna benzer, güvenliği ihlal edilmiş bir kısayol dosyasına düştü. Kısayol dosyası, tümü Base64’te kodlanmış bir sahte belge, yandan yükleme için bir ActiveX aracı ve şifrelenmiş bir ikili dosya içeren bir JavaScript damlatıcısını yerleştirdi. SugarGh0st kötü amaçlı yazılımı daha sonra saldırganın kontrol ettiği bir C2 sunucusuyla iletişim kurarak enfeksiyon zincirini tamamladı.

Kampanya raporu, ABD hükümetinin Çin’in yapay zeka yazılımı ve araçlarına erişimini kısıtladığı bir dönemde geldi. Adalet Bakanlığı kısa süre önce bir Google yazılım mühendisini, kurucusu olduğu Çin de dahil olmak üzere Çin’deki iki yapay zeka ile ilgili teknoloji şirketinde dağıtmak üzere yapay zeka sırlarını çalmakla suçladı.

Proofpoint, “Çinli kuruluşların yapay zeka gelişimini destekleyen teknolojilere erişimi kısıtlanırsa, Çin’e bağlı siber aktörlerin, Çin’in daha ileri kalkınma hedeflerine ulaşmak için bu bilgilere erişimi olan kişileri hedef alması mümkündür.” dedi.