TA547 фишинговая кампания
Фишинговая кампания TA547 с использованием Rhadamanthys stealer представляет собой значительную эволюцию в тактике киберпреступников, в частности, благодаря интеграции сценариев, созданных с помощью ИИ.
Детали
📌Имитация и содержимое электронной почты: Фишинговые электронные письма были созданы для того, чтобы выдавать себя за немецкую компанию Metro AG, и сообщения, связанные со счетами. Эти электронные письма содержали защищенный паролем ZIP-файл, который при открытии запускал удаленный сценарий PowerShell
📌Способ выполнения: Скрипт PowerShell выполняется непосредственно в памяти, развертывая Rhadamanthys stealer без записи на диск. Этот метод помогает избежать обнаружения традиционным антивирусным программным обеспечением
📌Использование ИИ при создании вредоносных программ: Есть явные признаки того, что скрипт PowerShell был создан или, по крайней мере, доработан с использованием большой языковой модели (LLM). Скрипт содержал грамматически правильные и очень специфичные комментарии, что нетипично для скриптов вредоносных программ, созданных человеком
Эволюционирующие TTPs
📌 Инновационные приманки и методы доставки: В рамках кампании также были опробованы новые тактики фишинга, такие как уведомления о голосовых сообщениях и встраивание изображений в формате SVG, для повышения эффективности атак по сбору учетных данных
📌ИИ: Использование технологий ИИ, таких как ChatGPT или CoPilot, при написании сценариев вредоносного ПО указывает на значительный сдвиг в тактике киберпреступности, предполагая, что киберпреступники все чаще используют ИИ для совершенствования своих методов атаки
📌Последствия: кампания не только подчеркивает адаптивность и техническую сложность TA547, но и подчеркивает тенденцию к внедрению инструментов ИИ в свою деятельность. Эта интеграция потенциально может привести к повышению эффективности и сложности обнаружения киберугроз
Рекомендации по защите
📌Обучение сотрудников: Организациям следует повысить уровень кибербезопасности, обучив сотрудников распознавать попытки фишинга и подозрительный контент электронной почты
📌Технические меры предосторожности: Внедрение строгих групповых политик для ограничения трафика из неизвестных источников и рекламных сетей может помочь защитить конечные точки от таких атак.
📌Обнаружение, основанное на поведении: Несмотря на использование искусственного интеллекта при разработке атак, механизмы обнаружения, основанные на поведении, остаются эффективными при выявлении и смягчении таких угроз
Vkontakte
Twitter
Одноклассники
