Yapay Zeka ve Makine Öğrenimi , Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar
Proofpoint, Alman Kuruluşlarına Yönelik Yeni Tehditleri Tespit Ediyor
Prajeet Nair (@prajeetspeaks) •
10 Nisan 2024
Proofpoint, Alman işletmelerini hedef alan mali motivasyonlu bir tehdit grubunun, kurban bilgisayarlara bir bilgi hırsızı indirmek için yapay zeka tarafından kodlandığı anlaşılan bir komut dosyası kullandığını söyledi.
Ayrıca bakınız: E-posta Güvenliğiniz Saldırganlara Ayak Uyduruyor mu? Microsoft 365 Yatırımınızı Koruma
ABD siber güvenlik şirketi Çarşamba günü yaptığı açıklamada, TA547 olarak takip ettiği siber suç grubunun bazı olağandışı özelliklere sahip bir PowerShell komut dosyası dağıttığını tespit ettiğini söyledi. Proofpoint, Rhadamanthys bilgi hırsızını yüklemek için kullanılan betiğin “betiğin her bileşeninin üzerinde dilbilgisi açısından doğru ve aşırı spesifik yorumlar” içerdiğini söyledi.
Proofpoint, kodlayıcıların koda yorum eklemesinin en iyi uygulama olduğunu, ancak yorumların gereksiz ve konuşkan tarzının “LLM tarafından oluşturulan kodlama içeriğinin tipik çıktısı” olduğunu söyledi.
Kodlayıcılar yıllardır görevleri otomatikleştirmek için yapay zekaya bakıyor ve Amerikalı programcılar arasında 2023’te yapılan bir ankete göre 10 programcıdan 9’undan fazlası yapay zeka kullanıyor. Ancak uygulamanın riskleri de yok değil (bkz: Bilgisayar Korsanları Kötü Amaçlı Yazılım Yaymak İçin Yapay Zeka Halüsinasyonlarını Kullanabilir).
Büyük dil modellerinin yaygın olarak bulunması, kötü aktörlerin becerilerini artırmak için Yüksek Lisans’lara yönelecekleri yönündeki endişeleri artırdı. Proofpoint, bu durumda, tehdit aktörünün yapay zeka tarafından oluşturulmuş olduğu anlaşılan komut dosyasını, bilgi çalan yazılımın kendisini değiştirmek veya tasarlamak için değil, kötü amaçlı yazılım yükü dağıtmak için kullandığını söylüyor. Proofpoint, “İster insan ister makine kaynaklı olsun, bu tür tehditlere karşı savunma aynı kalıyor” dedi.
TA547’nin kötü amaçlı yazılım yaymak için kullandığı yemin Alman nakit para perakendecisi Metro’dan kaynaklandığı ve sözde bir faturayla ilgili olduğu iddia ediliyor. Tehdit aktörünün Almanca dilbilgisini temizlemek için yapay zeka kullanıp kullanmadığı bilinmese de, daha gerçekçi görünen yem, elbette, yüksek lisansların suç amaçlı kullanımına ilişkin sıklıkla dile getirilen bir başka korkudur.
Proofpoint, TA547’yi ilk olarak Kasım 2017’de bir bankacılık Truva atı dağıtırken tespit etti. Araştırmacılar, grubun ilk erişim komisyoncusu olduğunu söyledi.
Kurban, Windows kısayol dosyası içeren sıkıştırılmış bir dosyayı açıp dosyayı çalıştırarak yemi yuttuğunda, bir PowerShell komut dosyası zinciri sonuçta Rhadamanthys’in bilgisayar belleğine yüklenmesiyle sona eriyor.
Daha önce tehdit aktörü, kötü amaçlı yazılım dağıtmak için sıkıştırılmış JavaScript eklerini kullanıyordu ancak Mart ayı başlarında sıkıştırılmış LNK’lere geçiş yaptı. Son kampanyalarda Almanya’nın yanı sıra İspanya, İsviçre, Avusturya ve ABD’deki kuruluşlar da hedef alındı.