TA547 фишинговая кампания

Фишинговая кампания‏ TA547 с использованием Rhadamanthys stealer‏ представляет собой‏ значительную‏ эволюцию в тактике‏ киберпреступников, в‏ частности, благодаря интеграции сценариев,‏ созданных‏ с помощью‏ ИИ.

Детали

📌Имитация и‏ содержимое электронной почты: Фишинговые электронные‏ письма‏ были созданы‏ для того,‏ чтобы выдавать себя за немецкую‏ компанию‏ Metro‏ AG, и‏ сообщения, связанные‏ со счетами.‏ Эти‏ электронные письма‏ содержали защищенный паролем ZIP-файл, который‏ при открытии‏ запускал‏ удаленный сценарий PowerShell

📌Способ‏ выполнения: Скрипт PowerShell‏ выполняется непосредственно в памяти,‏ развертывая‏ Rhadamanthys stealer‏ без записи‏ на диск. Этот метод помогает‏ избежать‏ обнаружения традиционным‏ антивирусным программным‏ обеспечением

📌Использование ИИ при создании вредоносных‏ программ:‏ Есть‏ явные признаки‏ того, что‏ скрипт PowerShell‏ был‏ создан или,‏ по крайней мере, доработан с‏ использованием большой‏ языковой‏ модели (LLM). Скрипт‏ содержал грамматически‏ правильные и очень специфичные‏ комментарии,‏ что нетипично‏ для скриптов‏ вредоносных программ, созданных человеком

Эволюционирующие TTPs

📌 Инновационные‏ приманки‏ и методы‏ доставки: В‏ рамках кампании также были опробованы‏ новые‏ тактики‏ фишинга, такие‏ как уведомления‏ о голосовых‏ сообщениях‏ и встраивание‏ изображений в формате SVG, для‏ повышения эффективности‏ атак‏ по сбору учетных‏ данных

📌ИИ: Использование‏ технологий ИИ, таких как‏ ChatGPT‏ или CoPilot,‏ при написании‏ сценариев вредоносного ПО указывает на‏ значительный‏ сдвиг в‏ тактике киберпреступности,‏ предполагая, что киберпреступники все чаще‏ используют‏ ИИ‏ для совершенствования‏ своих методов‏ атаки

📌Последствия: кампания‏ не‏ только подчеркивает‏ адаптивность и техническую сложность TA547,‏ но и‏ подчеркивает‏ тенденцию к внедрению‏ инструментов ИИ‏ в свою деятельность. Эта‏ интеграция‏ потенциально может‏ привести к‏ повышению эффективности и сложности обнаружения‏ киберугроз

Рекомендации‏ по защите

📌Обучение‏ сотрудников: Организациям‏ следует повысить уровень кибербезопасности, обучив‏ сотрудников‏ распознавать‏ попытки фишинга‏ и подозрительный‏ контент электронной‏ почты

📌Технические‏ меры предосторожности:‏ Внедрение строгих групповых политик для‏ ограничения трафика‏ из‏ неизвестных источников и‏ рекламных сетей‏ может помочь защитить конечные‏ точки‏ от таких‏ атак.

📌Обнаружение, основанное‏ на поведении: Несмотря на использование искусственного‏ интеллекта‏ при разработке‏ атак, механизмы‏ обнаружения, основанные на поведении, остаются‏ эффективными‏ при‏ выявлении и‏ смягчении таких‏ угроз