TA547 使用 LLM 生成的恶意软件来感染德国组织

阅读量37070

发布时间 : 2024-04-11 11:08:43

Proofpoint 的研究人员最近观察到针对德国各行业数十个组织的恶意活动。攻击链的一部分特别引人注目:一个普通的恶意软件植入程序,其代码显然是由人工智能 (AI) 生成的。

研究人员发现:初始访问代理 (IAB) TA547 正在使用人工智能生成的植入程序进行网络钓鱼攻击。

尽管这可能预示着更多的事情即将发生,但没有理由恐慌。无论由谁或什么内容编写恶意软件,防御都是一样的,而且人工智能恶意软件目前还不太可能占领世界。

Proofpoint 威胁研究高级经理 Daniel Blackford 表示:“在接下来的几年里,我认为LLM产生的恶意软件不会比人类能够编写的恶意软件更加复杂。”毕竟,撇开人工智能不谈,“我们有非常有才华的软件工程师,他们正在为我们抵御。”

TA547的AI生成恶意软件

TA547 有着以经济为动机的网络攻击的悠久历史。它在,传播 Trickbot 方面表现突出,但也曾在其他一些流行的网络犯罪工具中循环使用,包括 Gozi/Ursnif、Lumma Stealer、NetSupport RAT、StealC、ZLoader 等。

Blackford 解释说:“我们不仅看到 TA547,还看到其他组织的开发周期迭代速度更快、采用其他恶意软件、尝试新技术以查看哪些内容会持续下去。” TA547 的最新发展似乎与人工智能有关。

它的攻击始于简短的冒充电子邮件,例如,伪装成德国零售公司 Metro AG。这些电子邮件包含受密码保护的 ZIP 文件和压缩的 LNK 文件。 LNK 文件在执行时会触发一个 Powershell 脚本,该脚本会删除Rhadamanthys infostealer

听起来很简单,但删除 Rhadamanthys 的 Powershell 脚本有一个奇怪的特征。在代码中,每个组件上方都有一个主题标签,后面是有关该组件实现的功能的超具体注释。

正如 Proofpoint 所指出的,这是 LLM 生成的代码的特征,表明该组织(或最初编写该植入程序的人)使用某种聊天机器人来编写它。

更糟糕的人工智能恶意软件还会到来吗?

和我们其他人一样,网络攻击者一直在尝试人工智能聊天机器人如何帮助他们更轻松、更迅速、更有效地实现目标。

一些公司已经想出了一些利用人工智能来增强日常运营的方法,例如帮助研究目标和新出现的漏洞。但除了概念验证奇怪的新奇工具之外,还没有太多证据表明黑客正在人工智能的帮助下编写有用的恶意软件。

布莱克福德说,这是因为人类在编写恶意代码方面仍然比机器人好得多。此外,人工智能开发人员已采取措施防止其软件被滥用。

他说,至少目前来说,“这些组织利用人工智能扩大业务规模的方式比他们用人工智能创建一些新的超级恶意软件的想法更有趣。”

即使他们自动生成超级恶意软件,防御它的工作也将保持不变。正如 Proofpoint 在其帖子中总结的那样,“同样,LLM 生成的用于进行商业电子邮件泄露 (BEC) 的网络钓鱼电子邮件也使用与人类生成的内容相同的特征,并被包含机器生成代码的自动检测、恶意软件或脚本捕获仍将在沙箱(或主机)中以相同的方式运行,从而触发相同的自动防御。”

本文转载自:

如若转载,请注明出处: https://www.darkreading.com/threat-intelligence/ta547-uses-llm-generated-dropper-infect-german-orgs

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66