AI-drivna powershellskript används i hackning
Säkerhetsföretaget Proofpoint har identifierat en ny cyberattack riktad mot tyska organisationer, där hotaktören TA547 använder sig av Rhadamanthys-malware för första gången. Det intressanta med denna kampanj är användningen av ett PowerShell-skript, som misstänks ha genererats av stora språkmodeller (LLM) såsom ChatGPT, Gemini eller CoPilot.
Karaktärsdrag hos AI-genererad kod
E-postmeddelanden från hackaren låtsades komma från den tyska detaljhandelskedjan Metro och innehöll lösenordsskyddade ZIP-filer som, när de öppnades, utlöste ett fjärrstyrt PowerShell-skript. Detta skript dekrypterade och körde Rhadamanthys-malware helt i minnet, vilket försvårar upptäckt. Det andra PowerShell-skriptet, som användes för att ladda upp malware, uppvisade ovanliga egenskaper som inte vanligtvis ses hos hackares kod. Bland annat innehöll skriptet grammatiskt korrekta och mycket specifika kommentarer över varje kodsnutt, vilket är typiskt för innehåll genererat av LLM.
Teknikskiften och hackares metodik
TA547, en ekonomiskt motiverad hackarorganisation som vanligtvis levererar olika typer av malware, har nyligen bytt från JavaScript-arkiv till komprimerade LNK-filer som sin leveransmetod. Denna förändring markerar en ny fas i hur hackare anpassar sina tekniker. Förutom i Tyskland har liknande kampanjer observerats i Spanien, Schweiz, Österrike och USA.
Betydelsen av AI i cyberattacker
Denna kampanj belyser hur hackare kan använda AI för att förstå och återskapa mer sofistikerade attackkedjor, vilket ökar deras kapacitet att genomföra framgångsrika attacker. Även om införandet av misstänkt LLM-genererat innehåll inte ändrade funktionaliteten eller effektiviteten hos själva malware, illustrerar det en viktig utveckling i hur cyberbrottslighet utformas.
Kommentera: