A metró nevében küldött e-mailek Rhadamanthys adatlopót terjeszenek Németországban
A Proofpoint kutatói egy kibertámadási kampányt fedeztek fel, amelyet a TA547, egy pénzügyi motivációjú tevékenységéről és a kezdeti hozzáférési bróker (IAB) szerepéről ismert csoport szervezett. Ez a kampány kifejezetten német szervezeteket céloz meg a Rhadamanthys malware-t tartalmazó e-mailek terjesztésével, ami az első alkalom, hogy a TA547 ezt a bizonyos információlopó programot használja. A kártevő ismert arról, hogy különböző kiberbűnözői szereplők használják, és a TA547 által alkalmazott technikákban bekövetkezett változást mutat. Az e-mailek, amelyek a német Metro kiskereskedelmi óriásvállalat kommunikációjának álcázzák magukat, egy jelszóval védett ZIP fájlt tartalmaznak. Amikor a mellékelt LNK fájlt végrehajtják, az elindít egy PowerShell szkriptet, amely végül a Rhadamanthys-t hajtja végre a memóriában, megkerülve a hagyományos lemezalapú észlelési mechanizmusokat.
Egy olyan PowerShell szkript használata, amelynek jellemzői arra utalnak, hogy egy olyan nagy nyelvi modell (LLM), mint a ChatGPT generálta, a kiberbűnözői taktikák kifinomultságának lehetséges fejlődését jelzi. Ez a szkript szokatlanul specifikus és nyelvtanilag helyes megjegyzéseket tartalmazott az egyes szkriptkomponensek felett, ami az LLM által generált tartalom jellemzője. Ez a részlet arra utal, hogy a TA547 esetleg az LLM-technológiákat használja ki a kibertámadási stratégiáik fejlesztésére. Az ilyen tartalom újszerű használata ellenére úgy tűnik, hogy nem befolyásolja az érintett rosszindulatú szoftverek működését vagy észlelését. A Proofpoint hangsúlyozza, hogy viselkedésalapú védelmi mechanizmusaik továbbra is hatékonyak az ilyen fenyegetésekkel szemben, függetlenül attól, hogy azok emberi vagy gépi generálásúak.
(forrás)