Tehdit aktörleri, açık kaynaklı uzaktan erişim Truva Atı’nı (RAT) yaymak için doğada kötü amaçlı kod yazmak amacıyla üretken yapay zekayı (GenAI) kullandılar. Bu, saldırganların bu amaçla sohbet robotu teknolojisini silah olarak kullanmasının ilk gözlemlenen örneklerinden biri.
HP Wolf Security araştırmacıları, saldırganların GenAI’yi kullanarak VBScript ve JavaScript kodu yazdıkları ve ardından bu kodun dağıtımında kullanıldığı kampanyaya dair kanıtlar buldu. eşzamansızRATkurbanın bilgisayarını kontrol etmek için kullanılabilen, kolay erişilebilir, ticari bir kötü amaçlı yazılımdır.
Araştırmacılar bu davranışı ilk olarak Haziran ayında şüpheli bir e-postayı incelerken fark ettiler. Fatura gibi görünen “alışılmadık bir Fransız e-posta eki” vardı, HP Wolf Security açıklığa kavuşmuş “içinde”Tehdit İçgörüleri Raporu” (PDF) bu ay için. Araştırmacılar sonunda keşfedildi AsyncRAT’ı yaymak için her iki betik türünü de kullanan bir kampanyaydı; bu kodlar genellikle olduğu gibi gizlenmemişti.
Raporda, “Komut dosyalarının yapısı, yorumları ve işlev adları ile değişkenlerin seçimi, tehdit aktörünün kötü amaçlı yazılımı oluşturmak için GenAI kullandığına dair güçlü ipuçlarıydı” denildi.
Saldırganların daha ikna edici kimlik avı e-postaları yazmalarına yardımcı olması için GenAI’yi kullandıklarına dair yaygın bir inanış var, ancak şu ana kadar kötü amaçlı kod yazmak için bu teknolojinin kullanıldığına dair çok az kanıt var, bunun nedeni büyük ölçüde meşru sohbet robotu araçlarının korumaları vardır kötü amaçlı kullanımı önler. Ancak, güvenlik uzmanları teknolojinin ortaya çıkışından bu yana bunun sadece zaman meselesi tehdit aktörleri bu kapılardan bir yol bulmadan önce ve kötü niyetli chatbot geliştirme Dark Web’de bir fenomendir.
Araştırmacılar, kampanyanın saldırganların GenAI kullanımında savunmacıları alarma geçirecek şekilde hızla seviye atladığını gösterdiğini belirtti. Rapora göre, “Bu etkinlik, GenAI’nin saldırıları nasıl hızlandırdığını ve siber suçluların uç noktaları veya kötü amaçlı dosyaları birinin gelen kutusuna ulaşmadan önce enfekte etme çıtasını nasıl düşürdüğünü gösteriyor.”
Kötü Amaçlı Bir E-posta Kampanyasını Araştırma
Araştırmacılar gizlenmiş faturayı keşfettiklerinde, ekteki dosyanın tarayıcıda açıldığında parola isteyen basit bir HTML dosyası olduğunu bulmak için daha derine indiler. İlk başta tehdidin bir HTML kaçakçılığı saldırısı; ancak, HTML dosyasının içinde saklanan yükün bir arşiv içinde şifrelenmemiş olması nedeniyle diğer tehditlerin davrandığı şekilde davranmıyordu.
Bunun yerine, dosya JavaScript kodunun kendisinde şifrelendi, Gelişmiş Şifreleme Standardı (AES) kullanıldı ve herhangi bir hata yapılmadan uygulandı. Bu, araştırmacıların dosyayı şifresini çözmeleri için doğru parolaya ihtiyaç duydukları anlamına geliyordu.
Sonuç olarak, araştırma ekibi dosyanın doğru parolasını kaba kuvvetle elde etti ve şifresi çözülen arşivin, çalıştırıldığında enfeksiyon zincirini başlatan ve sonunda dağıtılan bir VBScript dosyası içerdiğini buldu. AsyncRATRaporda, “VBScript, Windows Kayıt Defterine çeşitli değişkenler yazar ve bunlar daha sonra zincirde yeniden kullanılır” denildi.
Bu enfeksiyon zincirinin bir parçası, kullanıcı dizinine bir JavaScript dosyasının bırakılması ve ardından kayıt defterinden bir PowerShell betiğinin okunması ve yeni başlatılan bir PowerShell işlemine enjekte edilmesidir. PowerShell betiği daha sonra diğer kayıt defteri değişkenlerini kullanır ve kötü amaçlı yazılım yükünü meşru bir işleme enjekte ettikten sonra başlatan iki yürütülebilir dosya daha çalıştırır.
GenAI Tarafından Oluşturulan Komut Dosyalarının Paketini Açma
Enfeksiyon zincirinde kullanılan VBScript ve JavaScript’in daha derinlemesine bir analizi sonucunda araştırmacılar, kodun karıştırılmadığını fark ettiler. Bu durum tuhaf görünüyordu çünkü kod karıştırma, saldırganların genellikle izlerini gizlemek için kullandıkları bir yöntemdi.
Rapora göre, “Aslında saldırgan, her satırın ne işe yaradığını açıklayan yorumlar bırakmıştı — basit işlevler için bile,”. “Kötü amaçlı yazılımlarda gerçek kod yorumları nadirdir çünkü saldırganlar kötü amaçlı yazılımları mümkün olduğunca anlaşılması zor hale getirmek isterler.”
Bu davranış ve betiklerin yapısı, her işlev için tutarlı yorumlar ve işlev adları ve değişkenlerinin seçimi, saldırganın bunu oldukça açık bir şekilde ortaya koydu. GenAI kullanıldı HP Wolf Security’ye göre, komut dosyalarını geliştirmek.
Artık tehdit aktörleri saldırı stratejilerinde GenAI’yi kullanmaya başladığına göre, savunmacılar da ateşe ateşle karşılık vermek için teknolojiyi güvenlik duruşlarına entegre etmelidir. Kuruluşlar, saldırganların bir ortama sızma şansı bulmadan önce yetkisiz erişimi veya kötü niyetli niyeti belirlemek için tehdit modellerini tanımak amacıyla GenAI’yi kullanabilir. Güvenlik araştırmacıları, GenAI’nin kötü niyetli aktörler için bir saldırı akışında yarattığı aynı verimliliklerin, savunmacılar tarafından işlerini kolaylaştırmak için de kullanılabileceğini söyledi.