TA547使用人工智能生成恶意脚本针对德国目标

据观察，黑客团伙 TA547 与已知的窃取者 Rhadamanthys 一起针对德国组织。

根据 Proofpoint 最近的一份报告(https://www.proofpoint.com/uk/blog/threat-insight/security-brief-ta547-targets-german-organizations-rhadamanthys-stealer)，这是该黑客组织首次与此类活动相关联。

研究人员认为，特别有趣的是，攻击者明显使用了可能由 ChatGPT、Gemini 或 CoPilot 等大型语言模型 (LLM) 生成的 PowerShell 脚本。

疑似由 LLM 编写并在 TA547 攻击链中使用的 PowerShell 示例

TA547冒充德国知名零售公司Metro，发送与发票相关的电子邮件。这些电子邮件发送给德国不同行业的众多组织，其中包含一个受密码保护的 ZIP 文件，其中包含一个 LNK 文件。

冒充德国零售公司 Metro 的 TA547 电子邮件示例

执行后，该 LNK 文件会触发 PowerShell 启动远程脚本，最终将Rhadamanthys 恶意软件直接加载到系统内存中并执行，从而绕过写入磁盘的需要。

值得注意的是，PowerShell 脚本表现出典型攻击者或合法程序员代码中不常见的特征，表明可能涉及大型语言模型 (LLM) 。这些因素包括每个脚本组件上方语法正确和超具体的注释，这是LLM生成内容的标志。

该活动展示了 TA547 的战略转变，包括采用压缩 LNK 和引入 Rhadamanthys。它还强调了攻击者如何利用可疑的LLM生成的内容进行恶意活动。

根据 Proofpoint 的说法，虽然攻击者可以使用 LLM 来帮助理解复杂的攻击链并可能增强他们的活动，但这并不会改变恶意软件的功能或功效。事实上，该公司认为，无论恶意软件的来源如何，大多数基于行为的检测机制仍然有效。

“与 LLM 生成的用于进行商业电子邮件泄露 (BEC) 的网络钓鱼电子邮件一样，它们使用与人类生成的内容相同的特征并被自动检测捕获，包含机器生成代码的恶意软件或脚本仍将以相同的方式运行沙箱（或主机上），触发相同的自动防御。”该公司解释道。

参考链接：

https://www.infosecurity-magazine.com/news/rhadamanthys-deployed-ta547-german/

讲述普通人能听懂的安全故事