អ្នកស្រាវជ្រាវមកពី Proofpoint ថ្មីៗនេះបានសង្កេតឃើញ យុទ្ធនាការព្យាបាទសំដៅលើអង្គការរាប់សិប នៅទូទាំងឧស្សាហកម្មនានាក្នុងប្រទេសអាល្លឺម៉ង់។ ផ្នែកមួយនៃខ្សែសង្វាក់វាយប្រហារបានលេចធ្លោជាពិសេស៖ ឧបករណ៍ទម្លាក់មេរោគធម្មតាដែលកូដត្រូវបានបង្កើតយ៉ាងច្បាស់ដោយបញ្ញាសិប្បនិម្មិត (AI) ។
អ្វីដែលអ្នកស្រាវជ្រាវបានរកឃើញ៖ ឈ្មួញកណ្តាលចូលប្រើដំបូង (IAB) TA547 កំពុងប្រើឧបករណ៍ទម្លាក់លេខដែលបង្កើតដោយ AI ក្នុងការវាយប្រហារក្លែងបន្លំ។
ថ្វីត្បិតតែវាអាចជារឿងដែលកើតឡើងបន្ថែមទៀតក៏ដោយ វាមិនមែនជាហេតុផលសម្រាប់ការភ័យស្លន់ស្លោនោះទេ។ ការការពារប្រឆាំងនឹងមេរោគគឺដូចគ្នា មិនថាអ្នកណា ឬអ្វីដែលសរសេរវាទេ ហើយមេរោគ AI ទំនងជាមិនកាន់កាប់ពិភពលោកនៅឡើយទេ។
លោក Daniel Blackford អ្នកគ្រប់គ្រងជាន់ខ្ពស់នៃការស្រាវជ្រាវការគំរាមកំហែងនៅ Proofpoint មានប្រសាសន៍ថា "សម្រាប់ពីរបីឆ្នាំខាងមុខ ខ្ញុំមិនឃើញមេរោគដែលចេញពី LLMs មានភាពស្មុគ្រស្មាញជាងអ្វីដែលមនុស្សនឹងអាចសរសេរបានទេ"។ យ៉ាងណាមិញ AI មួយវិញទៀត “យើងមានវិស្វករផ្នែកទន់ដែលមានទេពកោសល្យខ្ពស់ ដែលធ្វើការប្រឆាំងនឹងយើង”។
AI Dropper របស់ TA547
TA547 មានប្រវត្តិយូរយារណាស់មកហើយនៃការវាយប្រហារតាមអ៊ីនធឺណិតដែលជំរុញដោយហិរញ្ញវត្ថុ។ វាបានមកដល់ការជួញដូរ Trickbot ដ៏លេចធ្លោ ប៉ុន្តែបានឆ្លងកាត់ឧបករណ៍ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដ៏ពេញនិយមមួយចំនួនទៀត រួមមាន Gozi/Ursnif, Lumma stealer, NetSupport RAT, StealC, ZLoader និងច្រើនទៀត។
Blackford ពន្យល់ថា "យើងកំពុងមើលឃើញ - មិនត្រឹមតែជាមួយ TA547 ប៉ុណ្ណោះទេ ប៉ុន្តែជាមួយនឹងក្រុមផ្សេងទៀតផងដែរ - ការធ្វើម្តងទៀតកាន់តែលឿនតាមរយៈវដ្តនៃការអភិវឌ្ឍន៍ ការទទួលយកមេរោគផ្សេងទៀត ដោយព្យាយាមប្រើបច្ចេកទេសថ្មីដើម្បីមើលថាតើអ្វីនឹងនៅជាប់" Blackford ពន្យល់។ ហើយការវិវត្តន៍ចុងក្រោយបង្អស់របស់ TA547 ហាក់ដូចជាមានជាមួយ AI ។
ការវាយប្រហាររបស់វាបានចាប់ផ្តើមជាមួយនឹងអ៊ីមែលក្លែងបន្លំខ្លីៗ — ឧទាហរណ៍ ការក្លែងបន្លំជាក្រុមហ៊ុនលក់រាយរបស់អាល្លឺម៉ង់ Metro AG ។ អ៊ីមែលមានឯកសារ ZIP ការពារដោយពាក្យសម្ងាត់ ដែលផ្ទុកឯកសារ LNK ដែលបានបង្ហាប់។ ឯកសារ LNK នៅពេលប្រតិបត្តិបានបង្កឡើងនូវស្គ្រីប Powershell ដែលបានធ្លាក់ចុះ អ្នកលួចព័ត៌មាន Rhadamanthys.
ស្តាប់ទៅសាមញ្ញគ្រប់គ្រាន់ ប៉ុន្តែស្គ្រីប Powershell ដែលបានទម្លាក់ Rhadamanthys មានលក្ខណៈចម្លែកមួយ។ នៅក្នុងកូដ ខាងលើសមាសភាគនីមួយៗគឺជា hashtag អមដោយមតិជាក់លាក់ខ្ពស់អំពីអ្វីដែលសមាសភាគសម្រេចបាន។
សំណុំទិន្នន័យ TA547 ។ ប្រភព៖ Proofpoint
ដូចដែល Proofpoint បានកត់សម្គាល់ នេះគឺជាលក្ខណៈនៃកូដដែលបង្កើតដោយ LLM ដែលបង្ហាញថាក្រុម — ឬអ្នកណាដែលដើមឡើយបានសរសេរ dropper — បានប្រើប្រភេទ chatbot ដើម្បីសរសេរវា។
តើមេរោគ AI អាក្រក់ជាងនេះទៅទៀតឬ?
ដូចពួកយើងដទៃទៀតដែរ អ្នកវាយប្រហារតាមអ៊ីនធឺណិតបាននឹងកំពុងពិសោធន៍ពីរបៀបដែល AI chatbots អាចជួយពួកគេសម្រេចបាននូវគោលដៅរបស់ពួកគេកាន់តែងាយស្រួល រហ័ស និងមានប្រសិទ្ធភាព។
អ្នកខ្លះបានយល់ឃើញ វិធីតិចតួចក្នុងការប្រើ AI ដើម្បីបង្កើនប្រតិបត្តិការប្រចាំថ្ងៃរបស់ពួកគេ។ឧទាហរណ៍ តាមរយៈការជួយដល់ការស្រាវជ្រាវទៅលើគោលដៅ និងភាពងាយរងគ្រោះដែលកំពុងកើតឡើង។ ប៉ុន្តែក្រៅពី ភស្តុតាងនៃគំនិត និង ឧបករណ៍ថ្មីប្លែកមិនមានភស្តុតាងច្រើនទេដែលថាពួក Hacker កំពុងសរសេរមេរោគដែលមានប្រយោជន៍ដោយមានជំនួយពី AI ។
Blackford និយាយថាគឺដោយសារតែមនុស្សនៅតែល្អជាងមនុស្សយន្តដែលសរសេរកូដព្យាបាទ។ លើសពីនេះ អ្នកអភិវឌ្ឍន៍ AI បានចាត់វិធានការដើម្បីការពារការប្រើប្រាស់កម្មវិធីរបស់ពួកគេខុស។
យ៉ាងហោចណាស់សម្រាប់ពេលនេះ គាត់និយាយថា "វិធីដែលក្រុមទាំងនេះនឹងប្រើប្រាស់ AI ដើម្បីបង្កើនប្រតិបត្តិការរបស់ពួកគេ គឺជាបញ្ហាគួរឱ្យចាប់អារម្មណ៍ជាងគំនិតដែលថាពួកគេនឹងបង្កើតមេរោគទំនើបថ្មីមួយចំនួនជាមួយវា"។
ហើយសូម្បីតែនៅពេលដែលពួកគេបង្កើតមេរោគទំនើបដោយស្វ័យប្រវត្តិក៏ដោយ ការងារការពារប្រឆាំងនឹងវានឹងនៅដដែល។ ដូចដែល Proofpoint បានបញ្ចប់នៅក្នុងការប្រកាសរបស់ខ្លួន "តាមរបៀបដូចគ្នា អ៊ីមែលបន្លំដែលបង្កើតដោយ LLM ដើម្បីធ្វើការសម្របសម្រួលអ៊ីមែលអាជីវកម្ម (BEC) ប្រើលក្ខណៈដូចគ្នានៃមាតិកាដែលបង្កើតដោយមនុស្ស ហើយត្រូវបានចាប់ដោយការរកឃើញដោយស្វ័យប្រវត្តិ មេរោគ ឬស្គ្រីបដែលរួមបញ្ចូលកូដដែលបង្កើតដោយម៉ាស៊ីន។ នឹងនៅតែដំណើរការដូចគ្នានៅក្នុងប្រអប់ខ្សាច់ (ឬនៅលើម៉ាស៊ីន) ដែលបង្កឱ្យមានការការពារដោយស្វ័យប្រវត្តិដូចគ្នា។
- SEO ដែលដំណើរការដោយមាតិកា និងការចែកចាយ PR ។ ទទួលបានការពង្រីកថ្ងៃនេះ។
- PlatoData.Network Vertical Generative Ai. ផ្តល់អំណាចដល់ខ្លួនអ្នក។ ចូលប្រើទីនេះ។
- PlatoAiStream Web3 Intelligence ។ ចំណេះដឹងត្រូវបានពង្រីក។ ចូលប្រើទីនេះ។
- ផ្លាតូអេសជី។ កាបូន CleanTech, ថាមពល, បរិស្ថាន, ពន្លឺព្រះអាទិត្យ ការគ្រប់គ្រងកាកសំណល់។ ចូលប្រើទីនេះ។
- ផ្លាតូសុខភាព។ ជីវបច្ចេកវិទ្យា និង ភាពវៃឆ្លាត សាកល្បងគ្លីនិក។ ចូលប្រើទីនេះ។
- ប្រភព: https://www.darkreading.com/threat-intelligence/ta547-uses-llm-generated-dropper-infect-german-orgs
