Microsoft сообщила, что связанные с Северной Кореей государственные киберпреступники начали использовать искусственный интеллект (ИИ), чтобы сделать свои операции более эффективными.
"Они учатся использовать инструменты, основанные на больших языковых моделях искусственного интеллекта (LLM), чтобы сделать свои операции более эффективными", - сказал технический гигант в своем последнем отчете о хакерских группах Восточной Азии.
Компания особо выделила группу под названием Emerald Sleet (она же Kimusky или TA427), которая, как было замечено, использует LLM для усиления фишинговых атак, направленных на экспертов по Корейскому полуострову.
Также сообщается, что злоумышленник полагался на последние достижения в области искусственного интеллекта для исследования уязвимостей и проведения разведки организаций и экспертов, ориентированных на Северную Корею, присоединяясь к хакерским группам из Китая, которые использовали контент, созданный искусственным интеллектом, для операций влияния.
Компания также использовала LLM для устранения технических неполадок, выполнения базовых скриптовых задач и подготовки контента для фишинговых сообщений, сказал Редмонд, добавив, что она работала с OpenAI для отключения учетных записей и активов, связанных с субъектом угрозы.
Согласно отчету, опубликованному фирмой по корпоративной безопасности Proofpoint на прошлой неделе, группа "участвует в безобидных кампаниях для начала бесед, чтобы установить контакт с целями для долгосрочного обмена информацией по темам, имеющим стратегическое значение для северокорейского режима".
Метод работы Kimsuky предполагает использование аналитических центров и лиц, связанных с неправительственными организациями, для легитимизации своих электронных писем и повышения вероятности успеха атаки.
Однако в последние месяцы субъект национального государства начал злоупотреблять слабыми политиками аутентификации сообщений, отчетности и соответствия (DMARC) на основе домена, чтобы подделывать различных персонажей и использовать веб-маяки (т. Е. Пиксели отслеживания) для профилирования целей, что указывает на его "гибкость в корректировке своей тактики".
"Веб-маяки, вероятно, предназначены для первоначальной разведки с целью подтверждения активности целевых электронных писем и получения фундаментальной информации о сетевых средах получателей, включая видимые извне IP-адреса, пользовательский агент хоста и время, когда пользователь открыл электронное письмо", - сказал Proofpoint.
Развитие событий происходит по мере того, как северокорейские хакерские группы продолжают заниматься кражами криптовалют и атаками на цепочки поставок, при этом злоумышленник по прозвищу Джейд Слит связан с кражей по меньшей мере 35 миллионов долларов у эстонской криптофирмы в июне 2023 года и более 125 миллионов долларов у сингапурской криптовалютной платформы месяцем позже.
Jade Sleet, который пересекается с кластерами, отслеживаемыми как TraderTraitor и UNC4899, также был замечен в нападениях на онлайн-криптовалютные казино в августе 2023 года, не говоря уже об использовании поддельных репозиториев GitHub и оружейных пакетов npm для выявления сотрудников криптовалютных и технологических организаций.
В другом случае немецкая ИТ-компания была скомпрометирована Diamond Sleet (она же Lazarus Group) в августе 2023 года и использовала приложение тайваньской ИТ-фирмы для проведения атаки на цепочку поставок в ноябре 2023 года.
"Это, вероятно, принесет доход, в основном для его программы создания вооружений, в дополнение к сбору разведданных о Соединенных Штатах, Южной Корее и Японии", - сказал Клинт Уоттс, генеральный менеджер Центра анализа угроз Microsoft (MTAC).
Lazarus Group также известна использованием сложных методов, таких как захват фантомной библиотеки DLL Windows и манипулирование базами данных прозрачности, согласия и контроля (TCC) в Windows и macOS соответственно, для подрыва защиты и развертывания вредоносного ПО, что способствует его сложности и неуловимости, согласно Interpres Security.
Выводы сделаны на фоне новой кампании, организованной группой Konni (она же Ведалия), которая использует файлы ярлыков Windows (LNK) для доставки вредоносной полезной нагрузки.
"Злоумышленник использовал двойные расширения, чтобы скрыть исходное расширение .lnk, при этом обнаруженные файлы LNK содержали чрезмерные пробелы, чтобы скрыть вредоносные командные строки", - заявили в Symantec. "В рамках вектора атаки скрипт командной строки искал PowerShell, чтобы обойти обнаружение и обнаружить встроенные файлы и вредоносную полезную нагрузку".
"Они учатся использовать инструменты, основанные на больших языковых моделях искусственного интеллекта (LLM), чтобы сделать свои операции более эффективными", - сказал технический гигант в своем последнем отчете о хакерских группах Восточной Азии.
Компания особо выделила группу под названием Emerald Sleet (она же Kimusky или TA427), которая, как было замечено, использует LLM для усиления фишинговых атак, направленных на экспертов по Корейскому полуострову.
Также сообщается, что злоумышленник полагался на последние достижения в области искусственного интеллекта для исследования уязвимостей и проведения разведки организаций и экспертов, ориентированных на Северную Корею, присоединяясь к хакерским группам из Китая, которые использовали контент, созданный искусственным интеллектом, для операций влияния.
Компания также использовала LLM для устранения технических неполадок, выполнения базовых скриптовых задач и подготовки контента для фишинговых сообщений, сказал Редмонд, добавив, что она работала с OpenAI для отключения учетных записей и активов, связанных с субъектом угрозы.
Согласно отчету, опубликованному фирмой по корпоративной безопасности Proofpoint на прошлой неделе, группа "участвует в безобидных кампаниях для начала бесед, чтобы установить контакт с целями для долгосрочного обмена информацией по темам, имеющим стратегическое значение для северокорейского режима".
Метод работы Kimsuky предполагает использование аналитических центров и лиц, связанных с неправительственными организациями, для легитимизации своих электронных писем и повышения вероятности успеха атаки.
Однако в последние месяцы субъект национального государства начал злоупотреблять слабыми политиками аутентификации сообщений, отчетности и соответствия (DMARC) на основе домена, чтобы подделывать различных персонажей и использовать веб-маяки (т. Е. Пиксели отслеживания) для профилирования целей, что указывает на его "гибкость в корректировке своей тактики".
"Веб-маяки, вероятно, предназначены для первоначальной разведки с целью подтверждения активности целевых электронных писем и получения фундаментальной информации о сетевых средах получателей, включая видимые извне IP-адреса, пользовательский агент хоста и время, когда пользователь открыл электронное письмо", - сказал Proofpoint.
Развитие событий происходит по мере того, как северокорейские хакерские группы продолжают заниматься кражами криптовалют и атаками на цепочки поставок, при этом злоумышленник по прозвищу Джейд Слит связан с кражей по меньшей мере 35 миллионов долларов у эстонской криптофирмы в июне 2023 года и более 125 миллионов долларов у сингапурской криптовалютной платформы месяцем позже.
Jade Sleet, который пересекается с кластерами, отслеживаемыми как TraderTraitor и UNC4899, также был замечен в нападениях на онлайн-криптовалютные казино в августе 2023 года, не говоря уже об использовании поддельных репозиториев GitHub и оружейных пакетов npm для выявления сотрудников криптовалютных и технологических организаций.
В другом случае немецкая ИТ-компания была скомпрометирована Diamond Sleet (она же Lazarus Group) в августе 2023 года и использовала приложение тайваньской ИТ-фирмы для проведения атаки на цепочку поставок в ноябре 2023 года.
"Это, вероятно, принесет доход, в основном для его программы создания вооружений, в дополнение к сбору разведданных о Соединенных Штатах, Южной Корее и Японии", - сказал Клинт Уоттс, генеральный менеджер Центра анализа угроз Microsoft (MTAC).
Lazarus Group также известна использованием сложных методов, таких как захват фантомной библиотеки DLL Windows и манипулирование базами данных прозрачности, согласия и контроля (TCC) в Windows и macOS соответственно, для подрыва защиты и развертывания вредоносного ПО, что способствует его сложности и неуловимости, согласно Interpres Security.
Выводы сделаны на фоне новой кампании, организованной группой Konni (она же Ведалия), которая использует файлы ярлыков Windows (LNK) для доставки вредоносной полезной нагрузки.
"Злоумышленник использовал двойные расширения, чтобы скрыть исходное расширение .lnk, при этом обнаруженные файлы LNK содержали чрезмерные пробелы, чтобы скрыть вредоносные командные строки", - заявили в Symantec. "В рамках вектора атаки скрипт командной строки искал PowerShell, чтобы обойти обнаружение и обнаружить встроенные файлы и вредоносную полезную нагрузку".
