TA547, Rhadamanthys kötü amaçlı yazılımını dağıtan bir e-posta kampanyasıyla Alman kuruluşlarını hedef alıyor.
Proofpoint, TA547’nin birden fazla siber suçlu tehdit aktörü tarafından kullanılan bir bilgi hırsızı olan Rhadamanthys’i kullandığını gözlemledi.
Alman perakende şirketi Metro’nun kimliğine bürünen e-postalar, sanki faturalarla ilgiliymiş gibi görünecek şekilde hazırlanmış, konu başlığı “Rechnung No:31518562” ve şifre korumalı bir ZIP dosyası içeriyordu.
ZIP dosyası, çalıştırıldığında PowerShell’i uzak bir komut dosyasını çalıştırmaya tetikleyen bir LNK dosyası içeriyordu.
Bu komut dosyası, Base64 kodlu bir Rhadamanthys yürütülebilir dosyasının kodunun çözülmesinden, belleğe yüklenmesinden ve geleneksel dosya tabanlı algılama mekanizmalarından kaçınmakla bilinen bir yöntem olan onu diske kaydetmeden yürütülmesinden sorumluydu.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Yapay Zeka Destekli Siber Saldırılar
Saldırı zincirinde PowerShell betiğinin kullanılması, TA547’nin betiği yazmak veya yeniden yazmak için büyük dil modeli (LLM) gibi yapay zeka destekli bir araç kullanmış olabileceğini gösteriyor.
Bu, komut dosyasında gözlemlenen LLM tarafından oluşturulan kodlama içeriğinin tipik çıktı modelleriyle gösterilir.
Mart 2024’ün başlarında daha önce tercih edilen JavaScript eklerinden sıkıştırılmış LNK dosyalarına geçiş, TA547’nin gelişen taktiklerini gösteriyor.
Mali amaçlı bir siber suç tehdidi olarak tanımlanan ve ilk erişim aracısı (IAB) olarak değerlendirilen TA547, tarihsel olarak farklı yüklere sahip çeşitli coğrafi bölgeleri hedef aldı.
2023 yılında grup ağırlıklı olarak NetSupport RAT sağladı ancak aynı zamanda Rhadamanthys ile benzer işlevleri paylaşan StealC ve Lumma Stealer gibi diğer yükleri de dağıttığı biliniyor.
Alman örgütlerine karşı son dönemde yürütülen kampanya münferit bir olay değil.
TA547 aynı zamanda İspanya, İsviçre, Avusturya ve ABD’deki kuruluşları da hedef alarak grubun geniş coğrafi odağını ve yaygın etki potansiyelini vurguladı.
Yapay zeka destekli araçların siber saldırılarda benimsenmesi giderek artan bir endişe kaynağıdır.
Bu araçlar, hedefleri analiz edebilir ve bir kuruluşa zarar verme olasılığı en yüksek olan teknikleri bulabilir, bu da saldırıların yüksek düzeyde hedefe yönelik olmasını ve geleneksel siber güvenlik çözümleriyle tespit edilmesinin zor olmasını sağlar.
Yapay zeka destekli saldırıların öğrenme ve yeni savunmalara uyum sağlama yeteneği, siber güvenlik çözümlerinin genellikle güvendiği bilinen kalıpları ve imzaları atlayabildiği için önemli bir zorluk teşkil ediyor.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.