Cyberprzestępcy podszywający się pod legalne niemieckie firmy atakują organizacje w tym kraju. Firma Proofpoint, zajmująca się cyberbezpieczeństwem, odkryła, że tym razem wykorzystują oni dropper generowany przez sztuczną inteligencję do współpracy z innym złośliwym oprogramowaniem.
Proofpoint ostrzega, że dziesiątki organizacji z różnych branż w Niemczech otrzymują wiadomości e-mail zawierające fałszywe faktury w chronionych hasłem plikach ZIP.
Hakerzy, zidentyfikowani jako TA547, podają hasło w samej wiadomości e-mail, aby odbiorcy mogli rozpakować złośliwe oprogramowanie. Archiwum zawiera plik LNK, który po uruchomieniu uruchamia skrypt PowerShell, który działa jako dropper do dekodowania i uruchamiania Rhadamanthys, narzędzia do kradzieży informacji wykorzystywanego przez wielu cyberprzestępców.
Jest to jeden z pierwszych przypadków użycia kodu wygenerowanego przez sztuczną inteligencję.
„Aktor raczej używać skryptu PowerShell, który, jak podejrzewają badacze, został wygenerowany przez duże modele językowe (LLM), takie jak ChatGPT, Gemini, CoPilot itp.” – można przeczytać w raporcie.
Wskazuje na to kilka znaków. Po przywróceniu czytelności kodu, skrypt PowerShell zawiera szczegółowe i gramatycznie poprawne, hiper-specyficzne komentarze nad każdym elementem skryptu. Nawet legalni programiści nie są tak dokładni, a kod używany przez podmioty stanowiące zagrożenie rzadko zawiera jakiekolwiek komentarze.
„Jest to typowy wynik kodowania generowanego przez LLM i sugeruje, że TA547 użył jakiegoś narzędzia obsługującego LLM do napisania (lub przepisania) PowerShell lub skopiował skrypt z innego źródła, które go używało”.
Cybernews próbował uruchomić dostarczoną próbkę kodu za pomocą różnych detektorów treści AI, takich jak GPTZero lub QuillBot, które również potwierdziły, że kod jest przynajmniej częściowo generowany przez AI. Hakerzy mogli również użyć sztucznej inteligencji do wygenerowania przynęty e-mail.
Dlaczego ma to znaczenie? Zmiana w niektórych technikach wskazuje, że podmioty stanowiące zagrożenie coraz częściej wykorzystują duże modele językowe (LLM) do uruchamiania bardziej wyrafinowanych łańcuchów ataków. Modele LLM pomagają w generowaniu przynęt socjotechnicznych i kodu, który umożliwia aktorom zagrożeń skalowanie złośliwych działań.
W ostatnich atakach TA547 zawartość generowana przez LLM nie zmieniła funkcjonalności ani skuteczności używanego złośliwego oprogramowania, co nie wpłynęło na zdolność obrońców sieci do wykrywania złośliwych działań. Skrypt napisany przez sztuczną inteligencję pomógł w dostarczeniu ładunku złośliwego oprogramowania, ale nie zmienił samego ładunku.
Proofpoint opisuje TA547 jako motywowane finansowo zagrożenie cyberprzestępcze uważane za brokera początkowego dostępu (IAB), którego celem są różne regiony geograficzne.