Generativ AI används av nätbusar

För att generera skadlig kod

Cybersäkerhetsföretaget Proofpoint släpper i dag en ny rapport om hotaktören TA547, vars tillvägagångsätt pekar på en möjlig ny trend för cyberkriminella. Man verkar nämligen ha använt ett skript som Proofpoint-forskare misstänker ha genererats av en stor språkmodell (LLM) som ChatGPT, Gemini och CoPilot.

Det är visserligen svårt att till hundra procent bekräfta att skadligt innehåll skapas via dessa modeller men det finns egenskaper som pekar på att det rör sig om maskingenererad snarare än mänskligt genererad kod. Bland annat har skriptet egenskaper som vanligtvis inte observeras i kod som används av hotaktörer. Specifikt innehåller PowerShell-skriptet ett pundtecken följt av grammatiskt korrekta och hyperspecifika kommentarer ovanför varje komponent i skriptet. Detta är en typisk data som generas av stora språkmodeller, och en tydlig indikation på att TA547 använt någon av dessa verktyg för att skriva (eller skriva om) skriptet.

Koden i fråga är Rhadamanthys – som tidigare använts av flertalet cyberkriminella grupperingar. E-postmeddelanden som skickats från hotaktören efterliknar det tyska detaljhandelsföretaget Metro och påstår sig vara relaterat till fakturafrågor. I just detta fall är det primärt tyska företag som varit måltavla.

TA547 är en ekonomisk motiverad hotaktör som tidigare varit aktiv i en rad länder över hela världen. Historiskt har man vanligtvis använt sig av trojanen NetSupport RAT i sina kampanjer, men också ökända varianterna StealC och Lumma Stealer (informationsstjälare med liknande funktionalitet som Rhadamanthys).

Värt att notera är att även om TA547 använt misstänkt genererat innehåll via stora språkmodeller i den övergripande attackkedjan ändrade det inte funktionaliteten eller effektiviteten hos skadlig programvara eller ändrade sättet som säkerhetsverktyg försvarade sig mot det.

2024-04-12 - Industritorget