多家德国组织遭受网络攻击

admin 2024年4月15日15:15:24评论7 views字数 1173阅读3分54秒阅读模式

多家德国组织遭受网络攻击

 摘要

Proofpoint警告称,TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。 

Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者通过发送Rhadamanthys恶意软件的电子邮件活动攻击德国组织。

TA547是一个受利益的威胁行为者,至少从2017年11月开始就一直活跃,它被观察到进行了多次活动,以交付各种Android和Windows恶意软件,包括DanaBot、Gootkit、Lumma stealer、NetSupport RAT、Ursnif和ZLoader。

该组织还作为初始访问代理(IAB)运营,并以不同的地理区域为目标。 

研究人员指出,这是第一个使用此恶意软件家族的TA547集团。在过去的活动中,该组织使用了可能由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的PowerShell脚本。

多家德国组织遭受网络攻击

TA547集团假冒德国零售公司Metro向受害者发送电子邮件,据称与发票有关。这些消息包含一个密码保护的ZIP文件,打开后包含一个链接文件。

执行链接文件时,它会触发PowerShell运行远程PowerShell脚本。远程PowerShell脚本解码了存储在变量中的Base64编码的Rhadamanthys可执行文件,并将其作为程序集加载到内存中,然后执行它。

专家们注意到,恶意代码直接在内存中执行,而没有将任何工件写入磁盘。“值得注意的是,当解混淆时,用于加载Rhadamanthys的第二个PowerShell脚本包含有趣的特征,这些特征在威胁行为者(或合法程序员)使用的代码中通常不常见。

具体来说,PowerShell脚本在脚本的每个组件上方都包含一个磅符号,后面跟着语法正确且超特定的注释。” Proofpoint发布的报告中写道。“这是LLM生成的编码内容的典型输出,表明TA547使用了某种类型的LLM启用工具来编写(或重写)PowerShell,或从其他使用过它的来源复制了脚本。”

这次活动表明威胁行为者的技术转变,利用压缩链接和以前未见过的Rhadamanthys窃取恶意软件。

专家们还发现了在恶意软件活动中使用LLM的企图。报告总结道:“LLM可以帮助威胁行为者理解其他威胁行为者使用的更复杂的攻击链,使他们能够在理解功能后重新使用这些技术。就像LLM生成的社会工程诱饵一样,威胁行为者可能会将这些资源纳入整个活动中。”

“然而,值得注意的是,虽然TA547将可疑的LLM生成的内容纳入整个攻击链,但它并没有改变恶意软件的功能或效力,也没有改变安全工具对它的防御方式。在这种情况下,潜在的LLM生成的代码是一个脚本,它有助于交付恶意软件的有效载荷,但没有观察到它改变了有效载荷本身。”

原文始发于微信公众号(E安全):多家德国组织遭受网络攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月15日15:15:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   多家德国组织遭受网络攻击https://cn-sec.com/archives/2659345.html

发表评论

匿名网友 填写信息