概述
Proofpoint 发现 TA547 以德国组织为目标,通过电子邮件活动传播了 Rhadamanthys 恶意软件。这是研究人员首次观察到 TA547 使用 Rhadamanthys,这是一种被多个网络犯罪威胁行为者使用的信息窃取程序。 此外,该演员似乎使用了 PowerShell 脚本,研究人员怀疑该脚本是由 ChatGPT、Gemini、CoPilot 等大型语言模型 (LLM) 生成的。
威胁行为者发送的电子邮件冒充德国零售公司 Metro,声称与发票相关。
From: Metro !
Subject: Rechnung No:31518562
Attachment: in3 0gc-(94762)_6563.zip 
冒充德国零售公司 Metro 的 TA547 电子邮件示例
这些电子邮件针对的是德国各行业的数十个组织。邮件包含受密码保护的 ZIP 文件(密码:MAR26),其中包含 LNK 文件。当执行LNK文件时,它会触发PowerShell运行远程PowerShell脚本。此 PowerShell 脚本对存储在变量中的 Base64 编码的 Rhadamanthys 可执行文件进行解码,并将其作为程序集加载到内存中,然后执行程序集的入口点。这实际上是在内存中执行恶意代码,而不将其写入磁盘。
值得注意的是,在反混淆后,用于加载 Rhadamanthys 的第二个 PowerShell 脚本包含了威胁行为者(或合法程序员)使用的代码中不常见的有趣特征。具体来说,PowerShell 脚本在脚本的每个组件上方包含一个井号,后跟语法正确且超具体的注释。这是 LLM 生成的编码内容的典型输出,并表明 TA547 使用某种类型的支持 LLM 的工具来编写(或重写)PowerShell,或从使用它的另一个来源复制脚本。
疑似由法学硕士编写并在 TA547 攻击链中使用的 PowerShell 示例
虽然很难确认恶意内容是否是通过法学硕士创建的——从恶意软件脚本到社会工程诱饵——但此类内容的一些特征表明是机器生成的信息,而不是人类生成的信息。无论是人为还是机器生成,针对此类威胁的防御措施都是相同的。
归因
TA547 是一种出于经济动机的网络犯罪威胁,被认为是针对不同地理区域的初始访问代理 (IAB)。自 2023 年以来,TA547 通常提供 NetSupport RAT,但偶尔也会提供其他有效负载,包括 StealC 和 Lumma Stealer(与 Rhadamanthys 具有类似功能的信息窃取程序)。他们似乎倾向于在 2023 年将压缩的 JavaScript 附件作为初始交付有效负载,但攻击者在 2024 年 3 月上旬改用压缩的 LNK。除了在德国的活动之外,最近的其他地理目标还包括西班牙、瑞士、奥地利和美国的组织
为什么这很重要
该活动代表了 TA547 的一些技术转变的一个例子,包括使用压缩 LNK 和以前未观察到的 Rhadamanthys 窃取者。它还提供了有关威胁行为者如何在恶意软件活动中利用可能由 LLM 生成的内容的见解。
LLM 可以帮助威胁行为者了解其他威胁行为者使用的更复杂的攻击链,使他们能够在了解其功能后重新利用这些技术。就像法学硕士生成的社会工程诱饵一样,威胁行为者可能会将这些资源整合到整体活动中。然而,值得注意的是,虽然 TA547 将可疑的 LLM 生成的内容合并到整个攻击链中,但它并没有改变恶意软件的功能或功效,也没有改变安全工具防御它的方式。在这种情况下,潜在的 LLM 生成的代码是一个有助于传递恶意软件有效负载的脚本,但没有观察到该脚本会改变有效负载本身。由于 Proofpoint 的许多检测机制都是基于行为的,因此任何给定恶意软件的来源都不会影响我们检测主机上采取的恶意操作的能力。同样,LLM 生成的用于进行商业电子邮件泄露 (BEC) 的网络钓鱼电子邮件使用与人类生成的内容相同的特征并被自动检测捕获,包含机器生成代码的恶意软件或脚本仍将以相同的方式运行。沙箱(或主机上),触发相同的自动防御。
妥协指标
参考链接: https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta547-targets-german-organizations-rhadamanthys-stealer
图片来源网络侵权可联系删除
