One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8479187 |
| Date de publication | 2024-04-10 10:12:47 (vue: 2024-04-10 09:08:36) |
| Titre | Mémoire de sécurité: TA547 cible les organisations allemandes avec Rhadamanthys Stealer Security Brief: TA547 Targets German Organizations with Rhadamanthys Stealer |
| Texte | Ce qui s'est passé Proofpoint a identifié TA547 ciblant les organisations allemandes avec une campagne de courriel livrant des logiciels malveillants de Rhadamanthys.C'est la première fois que les chercheurs observent TA547 utiliser des Rhadamanthys, un voleur d'informations utilisé par plusieurs acteurs de menaces cybercriminaux.De plus, l'acteur a semblé utiliser un script PowerShell que les chercheurs soupçonnent a été généré par un modèle grand langage (LLM) tel que Chatgpt, Gemini, Copilot, etc. Les e-mails envoyés par l'acteur de menace ont usurpé l'identité de la société de vente au détail allemande Metro prétendant se rapporter aux factures. De: Metro! Sujet: Rechnung No: 31518562 Attachement: in3 0gc- (94762) _6563.zip Exemple TA547 Courriel imitant l'identité de la société de vente au détail allemande Metro. Les e-mails ont ciblé des dizaines d'organisations dans diverses industries en Allemagne.Les messages contenaient un fichier zip protégé par mot de passe (mot de passe: mar26) contenant un fichier LNK.Lorsque le fichier LNK a été exécuté, il a déclenché PowerShell pour exécuter un script PowerShell distant.Ce script PowerShell a décodé le fichier exécutable Rhadamanthys codé de base64 stocké dans une variable et l'a chargé en tant qu'assemblage en mémoire, puis a exécuté le point d'entrée de l'assemblage.Il a par la suite chargé le contenu décodé sous forme d'un assemblage en mémoire et a exécuté son point d'entrée.Cela a essentiellement exécuté le code malveillant en mémoire sans l'écrire sur le disque. Notamment, lorsqu'il est désabuscée, le deuxième script PowerShell qui a été utilisé pour charger les rhadamanthys contenait des caractéristiques intéressantes non couramment observées dans le code utilisé par les acteurs de la menace (ou les programmeurs légitimes).Plus précisément, le script PowerShell comprenait un signe de livre suivi par des commentaires grammaticalement corrects et hyper spécifiques au-dessus de chaque composant du script.Il s'agit d'une sortie typique du contenu de codage généré par LLM et suggère que TA547 a utilisé un certain type d'outil compatible LLM pour écrire (ou réécrire) le PowerShell, ou copié le script à partir d'une autre source qui l'avait utilisé. Exemple de PowerShell soupçonné d'être écrit par un LLM et utilisé dans une chaîne d'attaque TA547. Bien qu'il soit difficile de confirmer si le contenu malveillant est créé via LLMS & # 8211;Des scripts de logiciels malveillants aux leurres d'ingénierie sociale & # 8211;Il existe des caractéristiques d'un tel contenu qui pointent vers des informations générées par la machine plutôt que générées par l'homme.Quoi qu'il en soit, qu'il soit généré par l'homme ou de la machine, la défense contre de telles menaces reste la même. Attribution TA547 est une menace cybercriminale à motivation financière considérée comme un courtier d'accès initial (IAB) qui cible diverses régions géographiques.Depuis 2023, TA547 fournit généralement un rat Netsupport mais a parfois livré d'autres charges utiles, notamment Stealc et Lumma Stealer (voleurs d'informations avec des fonctionnalités similaires à Rhadamanthys).Ils semblaient favoriser les pièces javascript zippées comme charges utiles de livraison initiales en 2023, mais l'acteur est passé aux LNK compressées début mars 2024. En plus des campagnes en Allemagne, d'autres ciblage géographique récent comprennent des organisations en Espagne, en Suisse, en Autriche et aux États-Unis. Pourquoi est-ce important Cette campagne représente un exemple de certains déplacements techniques de TA547, y compris l'utilisation de LNK comprimés et du voleur Rhadamanthys non observé auparavant.Il donne également un aperçu de la façon dont les acteurs de la menace tirent parti de contenu probable généré par LLM dans les campagnes de logiciels malveillants. Les LLM peuvent aider les acteurs de menace à comprendre les chaînes d'attaque plus sophistiquées utilisées |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | 0gc 104 131 2023 2024 2024 2043202 223:443 2853001 2853002 2854802 6563 94762 ability above access across actions actor actors addition additionally against also alter another any appeared are assembly assist assisted attachment: attachments attack attribution austria automated base64 based bec because behavior brief: broker business but c2 campaign campaigns can case caught cert chain chains change characteristics chatgpt code coding com/g comments commonly company component compressed compromise compromise conduct confirm considered contained containing content copied copilot correct created cybercriminal data decoded defended defense defenses delivered delivering delivers delivery deobfuscated description detect detection detections did difficult disk download dozens each early efficacy email emails emerging enabled enabling encoded engineering entry essentially etc etpro example executable executed exfil favor file financially first followed from from: functionality gemini generated geographic german germany given grammatically had happened has host how however human hxxps://bolibachan hyper iab identified impact impersonated impersonating important in3 included includes including incorporate incorporated indicators indicator indscpm industries information initial insight interesting invoices its itself javascript language large legitimate leveraging like likely llm llms lnk lnks load loaded lumma lures machine malicious malware many mar26 march matters may mechanisms memory messages metro model more motivated multiple netsupport no:31518562 not notably note observed occasionally once organizations origin other output overall password password: payload payloads payload phishing point points potentially pound powershell previously programmers proofpoint protected provides purporting rat rather recent rechnung regardless regions relate related remains remote represents repurpose request researchers resources response retail rewrite rhadamanthys run same sandbox script scripts second security seen sent shifts sign signatures similar since social software some sophisticated source spain specific specifically ssl stealc stealer stealers stored subject: subsequently such suggests suspect suspected switched switzerland ta547 ta547 taken targeted targeting targets technique techniques than them then these threat threats time tool tools triggered triggering txt type typical typically understand understanding unobserved use used variable various way what when whether which why will without write writing written xyz zip zipped zip |
| Tags | Malware Tool Threat |
| Stories | ChatGPT |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.