TA547 фишинговая кампания

Фишинговая ‎кампания‏ ‎TA547 ‎с ‎использованием ‎Rhadamanthys ‎stealer‏ ‎представляет ‎собой‏ ‎значительную‏ ‎эволюцию ‎в ‎тактике‏ ‎киберпреступников, ‎в‏ ‎частности, ‎благодаря ‎интеграции ‎сценариев,‏ ‎созданных‏ ‎с ‎помощью‏ ‎ИИ.

Детали

📌Имитация ‎и‏ ‎содержимое ‎электронной ‎почты: ‎Фишинговые ‎электронные‏ ‎письма‏ ‎были ‎созданы‏ ‎для ‎того,‏ ‎чтобы ‎выдавать ‎себя ‎за ‎немецкую‏ ‎компанию‏ ‎Metro‏ ‎AG, ‎и‏ ‎сообщения, ‎связанные‏ ‎со ‎счетами.‏ ‎Эти‏ ‎электронные ‎письма‏ ‎содержали ‎защищенный ‎паролем ‎ZIP-файл, ‎который‏ ‎при ‎открытии‏ ‎запускал‏ ‎удаленный ‎сценарий ‎PowerShell

📌Способ‏ ‎выполнения: Скрипт ‎PowerShell‏ ‎выполняется ‎непосредственно ‎в ‎памяти,‏ ‎развертывая‏ ‎Rhadamanthys ‎stealer‏ ‎без ‎записи‏ ‎на ‎диск. ‎Этот ‎метод ‎помогает‏ ‎избежать‏ ‎обнаружения ‎традиционным‏ ‎антивирусным ‎программным‏ ‎обеспечением

📌Использование ‎ИИ ‎при ‎создании ‎вредоносных‏ ‎программ:‏ ‎Есть‏ ‎явные ‎признаки‏ ‎того, ‎что‏ ‎скрипт ‎PowerShell‏ ‎был‏ ‎создан ‎или,‏ ‎по ‎крайней ‎мере, ‎доработан ‎с‏ ‎использованием ‎большой‏ ‎языковой‏ ‎модели ‎(LLM). ‎Скрипт‏ ‎содержал ‎грамматически‏ ‎правильные ‎и ‎очень ‎специфичные‏ ‎комментарии,‏ ‎что ‎нетипично‏ ‎для ‎скриптов‏ ‎вредоносных ‎программ, ‎созданных ‎человеком

Эволюционирующие ‎TTPs

📌 Инновационные‏ ‎приманки‏ ‎и ‎методы‏ ‎доставки: ‎В‏ ‎рамках ‎кампании ‎также ‎были ‎опробованы‏ ‎новые‏ ‎тактики‏ ‎фишинга, ‎такие‏ ‎как ‎уведомления‏ ‎о ‎голосовых‏ ‎сообщениях‏ ‎и ‎встраивание‏ ‎изображений ‎в ‎формате ‎SVG, ‎для‏ ‎повышения ‎эффективности‏ ‎атак‏ ‎по ‎сбору ‎учетных‏ ‎данных

📌ИИ: ‎Использование‏ ‎технологий ‎ИИ, ‎таких ‎как‏ ‎ChatGPT‏ ‎или ‎CoPilot,‏ ‎при ‎написании‏ ‎сценариев ‎вредоносного ‎ПО ‎указывает ‎на‏ ‎значительный‏ ‎сдвиг ‎в‏ ‎тактике ‎киберпреступности,‏ ‎предполагая, ‎что ‎киберпреступники ‎все ‎чаще‏ ‎используют‏ ‎ИИ‏ ‎для ‎совершенствования‏ ‎своих ‎методов‏ ‎атаки

📌Последствия: ‎кампания‏ ‎не‏ ‎только ‎подчеркивает‏ ‎адаптивность ‎и ‎техническую ‎сложность ‎TA547,‏ ‎но ‎и‏ ‎подчеркивает‏ ‎тенденцию ‎к ‎внедрению‏ ‎инструментов ‎ИИ‏ ‎в ‎свою ‎деятельность. ‎Эта‏ ‎интеграция‏ ‎потенциально ‎может‏ ‎привести ‎к‏ ‎повышению ‎эффективности ‎и ‎сложности ‎обнаружения‏ ‎киберугроз

Рекомендации‏ ‎по ‎защите

📌Обучение‏ ‎сотрудников: ‎Организациям‏ ‎следует ‎повысить ‎уровень ‎кибербезопасности, ‎обучив‏ ‎сотрудников‏ ‎распознавать‏ ‎попытки ‎фишинга‏ ‎и ‎подозрительный‏ ‎контент ‎электронной‏ ‎почты

📌Технические‏ ‎меры ‎предосторожности:‏ ‎Внедрение ‎строгих ‎групповых ‎политик ‎для‏ ‎ограничения ‎трафика‏ ‎из‏ ‎неизвестных ‎источников ‎и‏ ‎рекламных ‎сетей‏ ‎может ‎помочь ‎защитить ‎конечные‏ ‎точки‏ ‎от ‎таких‏ ‎атак.

📌Обнаружение, ‎основанное‏ ‎на ‎поведении: Несмотря ‎на ‎использование ‎искусственного‏ ‎интеллекта‏ ‎при ‎разработке‏ ‎атак, ‎механизмы‏ ‎обнаружения, ‎основанные ‎на ‎поведении, ‎остаются‏ ‎эффективными‏ ‎при‏ ‎выявлении ‎и‏ ‎смягчении ‎таких‏ ‎угроз