多家德国组织遭受网络攻击

Proofpoint警告称，TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。 

Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者，通过发送Rhadamanthys恶意软件的电子邮件活动攻击德国组织。

TA547是一个受利益的威胁行为者，至少从2017年11月开始就一直活跃，它被观察到进行了多次活动，以交付各种Android和Windows恶意软件，包括DanaBot、Gootkit、Lumma stealer、NetSupport RAT、Ursnif和ZLoader。

该组织还作为初始访问代理(IAB)运营，并以不同的地理区域为目标。 

研究人员指出，这是第一个使用此恶意软件家族的TA547集团。在过去的活动中，该组织使用了可能由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的PowerShell脚本。

TA547集团假冒德国零售公司Metro向受害者发送电子邮件，据称与发票有关。这些消息包含一个密码保护的ZIP文件，打开后包含一个链接文件。

执行链接文件时，它会触发PowerShell运行远程PowerShell脚本。远程PowerShell脚本解码了存储在变量中的Base64编码的Rhadamanthys可执行文件，并将其作为程序集加载到内存中，然后执行它。

专家们注意到，恶意代码直接在内存中执行，而没有将任何工件写入磁盘。“值得注意的是，当解混淆时，用于加载Rhadamanthys的第二个PowerShell脚本包含有趣的特征，这些特征在威胁行为者(或合法程序员)使用的代码中通常不常见。

具体来说，PowerShell脚本在脚本的每个组件上方都包含一个磅符号，后面跟着语法正确且超特定的注释。” Proofpoint发布的报告中写道。“这是LLM生成的编码内容的典型输出，表明TA547使用了某种类型的LLM启用工具来编写(或重写)PowerShell，或从其他使用过它的来源复制了脚本。”

这次活动表明威胁行为者的技术转变，利用压缩链接和以前未见过的Rhadamanthys窃取恶意软件。

专家们还发现了在恶意软件活动中使用LLM的企图。报告总结道：“LLM可以帮助威胁行为者理解其他威胁行为者使用的更复杂的攻击链，使他们能够在理解功能后重新使用这些技术。就像LLM生成的社会工程诱饵一样，威胁行为者可能会将这些资源纳入整个活动中。”

“然而，值得注意的是，虽然TA547将可疑的LLM生成的内容纳入整个攻击链，但它并没有改变恶意软件的功能或效力，也没有改变安全工具对它的防御方式。在这种情况下，潜在的LLM生成的代码是一个脚本，它有助于交付恶意软件的有效载荷，但没有观察到它改变了有效载荷本身。”