Fancy Bear veya Forest Blizzard olarak da bilinen Rus devlet destekli tehdit oyuncusu APT28, otomatik komut üretimi ve yürütme için büyük dil modellerinden (LLMS) yararlanan ilk halka açık kötü amaçlı yazılımlar olan Lamehug’u konuşlandırdı.
Yakın tarihli bir CERT-UA raporuna göre, bu kampanya, bu ayın başlarında Ukrayna’nın güvenlik ve savunma sektörlerini hedef aldı ve devlet bakanlığı temsilcileri olarak maskelenen tehlikeye atılan resmi hesaplardan gönderilen spearphishing e-postalarla başladı.
E -postalar, Python kaynak kodundan PyinStaller aracılığıyla derlenen .PIF uzantılı bir yürütülebilir dosyayı barındıran Ek.Pdf.zip adlı kötü amaçlı bir zip arşivi içeriyordu.
Apt28’in LLMS sömürüsü
Yürütme üzerine Lamehug, Hugging Face’in API’sında barındırılan QWEN 2.5 kodlayıcı-32b-in-haciz modeli ile arayüz oluşturarak saldırganların LLM’nin yürütülebilir sistem komutlarına dönüştüğü doğal dil istemlerini girmesini sağlar.
Rapora göre, bu yenilikçi entegrasyon, AI’nın bantlı yükler olmadan özel komutlar üretmeye yardımcı olduğu kötü amaçlı yazılım sofistike bir paradigma kaymasını işaretleyerek, keşif ve veri pessfiltrasyon görevlerinin esnek, anında otomasyonuna izin veriyor.
Lamehug’un operasyonel zinciri, kapsamlı ana bilgisayar ayrıntılarını hasat etmek için CMD.EXE aracılığıyla yürütülen LLM tarafından üretilen parti komutlarını kullanan sistem numaralandırmasıyla başlar.
Bunlar, CPU adı ve hızı için WMIC sorguları aracılığıyla donanım özelliklerini, görev listesinden işlem listelerinin, net başlangıçlı hizmet numaralandırmalarının ve ipconfig /all’lardan ağ ayrıntılarının yanı sıra.
Kullanıcı ve etki alanı bilgileri, %ProgramData %\ Info dizininde sahnelenen bir Info.txt dosyasına eklenmiştir.
Kötü amaçlı yazılım daha sonra, hassas belgeler için belgeler, masaüstü ve indirmeler gibi kullanıcı dizinlerini tekrarlar, SFTP veya HTTP Post üzerinden saldırgan kontrol altındaki altyapıya ek olarak arşivler.
CERT-UA, EVADE tespiti için potansiyel olarak sansürsüz AI modelleri veya görüntü tabanlı veri kaçakçılığı içeren, pesfiltrasyon mekanizmalarında varyasyonlar sergileyen iki ek varyant, ai_generator_uncensored_canvas_pro_v0.9.exe ve image.py tanımladı.
Rusya’nın GRU Birimi 26165’e atfedilen APT28’in Lamehug kullanımı, kimlik bilgisi avı, güvenlik açığı sömürüsü (örneğin, CVE-2020-0688) ve RDP veya SMB paylaşımları yoluyla yanal hareketle, miter att & ck eşlemelerinde ayrıntılı olarak açıklandığı gibi hizalanır.
Kötü amaçlı yazılımların harici LLM API’lerine güvenmesi, hızlı enjeksiyon güvenlik açıkları veya kod gizlemesi için API kötüye kullanımı gibi yeni riskler getirirken, keşifler WMIC.Exe ve DSquery.exe gibi yerel pencereler ikili dosyalarını meşru faaliyetlerle karıştırır.
Tehdit avı
Bu tür tehditlere karşı koymak için kuruluşlar, Logpoint gibi SIEM platformlarını kullanarak proaktif tehdit avı kullanabilir ve C: \ ProgramData* gibi yollarda şüpheli dosya oluşturma için Sysmon Event_id = 11’e odaklanır.
Sorgular ayrıca, whoami.exe, ipconfig.exe ve wmic.exe gibi ikili dosyalar için süreç oluşturma günlükleri yoluyla keşif algılamalı, komut satırı denetimi etkinleştirilmiş, kullanıcı-barınma çifti başına yüksek sayıdaki komutları uyarmalıdır.
Ağ göstergeleri, IPS 144.126.202.227 ve 192.36.27.37’ye giden bağlantıları içerir, Domains Boroda.ua ve Stayathomeclasses.com veya API.Huggingface.co gibi LLM uç noktaları, Haşes boyunca 8013B23CB78407675F323D54B6B8DFB2A61FB40FB13309337F5B662DBD812A5D.
“Mozilla/5.0 (Windows NT 10.0; Win64; X64; RV: 140.0) Gecko/20100101 Firefox/140.0” gibi kullanıcı ajanı dizeleri diğer IOC’lerle ilişkili olduğunda inceleme garanti.
Yanıt stratejileri, kimlik avı triyajı için otomatik oyun kitaplarını, başlıkları çıkarmak ve Virustotal veya RecordedFuture’dan tehdit istihbaratıyla IPS/URL’leri zenginleştirmek için O365 API’leri üzerinden e -posta adli tıp kitaplarını ve işlem boşaltma ve kötü niyetli dosya içermesi için AgentX gibi araçları kullanarak uç nokta izolasyonu içerir.
Öneriler, EDR, ağ segmentasyonu ve güvenilir kaynaklardan e-postaların doğrulanması konusunda çalışan eğitimiyle derinlemesine savunma vurgulamaktadır.
LLM API etkileşimlerinin, giriş dezenfektanının ve olay tepkisi tatbikatlarının sürekli izlenmesi, APT28 gibi rakipler gelişmekte olan teknolojilerden yararlanmak için TTP’lerini geliştirmeye devam ettikçe, AI-kabul edilen tehditleri azaltmak için çok önemlidir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!