据观察,黑客团伙 TA547 与已知的窃取者 Rhadamanthys 一起针对德国组织。
根据 Proofpoint 最近的一份报告(https://www.proofpoint.com/uk/blog/threat-insight/security-brief-ta547-targets-german-organizations-rhadamanthys-stealer),这是该黑客组织首次与此类活动相关联。
研究人员认为,特别有趣的是,攻击者明显使用了可能由 ChatGPT、Gemini 或 CoPilot 等大型语言模型 (LLM) 生成的 PowerShell 脚本。
疑似由 LLM 编写并在 TA547 攻击链中使用的 PowerShell 示例
TA547冒充德国知名零售公司Metro,发送与发票相关的电子邮件。这些电子邮件发送给德国不同行业的众多组织,其中包含一个受密码保护的 ZIP 文件,其中包含一个 LNK 文件。
冒充德国零售公司 Metro 的 TA547 电子邮件示例
执行后,该 LNK 文件会触发 PowerShell 启动远程脚本,最终将Rhadamanthys 恶意软件直接加载到系统内存中并执行,从而绕过写入磁盘的需要。
值得注意的是,PowerShell 脚本表现出典型攻击者或合法程序员代码中不常见的特征,表明可能涉及大型语言模型 (LLM) 。这些因素包括每个脚本组件上方语法正确和超具体的注释,这是LLM生成内容的标志。
该活动展示了 TA547 的战略转变,包括采用压缩 LNK 和引入 Rhadamanthys。它还强调了攻击者如何利用可疑的LLM生成的内容进行恶意活动。
根据 Proofpoint 的说法,虽然攻击者可以使用 LLM 来帮助理解复杂的攻击链并可能增强他们的活动,但这并不会改变恶意软件的功能或功效。事实上,该公司认为,无论恶意软件的来源如何,大多数基于行为的检测机制仍然有效。
“与 LLM 生成的用于进行商业电子邮件泄露 (BEC) 的网络钓鱼电子邮件一样,它们使用与人类生成的内容相同的特征并被自动检测捕获,包含机器生成代码的恶意软件或脚本仍将以相同的方式运行沙箱(或主机上),触发相同的自动防御。”该公司解释道。
参考链接:
https://www.infosecurity-magazine.com/news/rhadamanthys-deployed-ta547-german/