Tehdit aktörleri, açık kaynaklı bir uzaktan erişim Truva Atı’nı (RAT) yaymak amacıyla vahşi doğada kötü amaçlı kod yazmak için üretken yapay zekayı (GenAI) kullandı. Bu, saldırganların bu amaçla chatbot teknolojisini silah haline getirdiği ilk gözlemlenen örneklerden biri.
HP Wolf Security’den araştırmacılar, saldırganların VBScript ve JavaScript kodunu yazmalarına yardımcı olmak için GenAI kullandığı ve daha sonra bu kodu dağıtmak için kullanılan kampanyaya ilişkin kanıtlar buldu. eşzamansızRATkurbanın bilgisayarını kontrol etmek için kullanılabilecek, kolay erişilebilir, ticari bir kötü amaçlı yazılım.
Araştırmacılar bu davranışı ilk olarak Haziran ayında şüpheli bir e-postayı araştırırken fark ettiler. HP Wolf Security, fatura gibi görünen “alışılmadık bir Fransızca e-posta eki” içeriyordu açıklığa kavuşmuş onun içinde”Tehdit Analizleri Raporu” (PDF) bu ay için. Araştırmacılar sonunda keşfedildi AsyncRAT’ı yaymak için her iki komut dosyası türünü (genellikle olduğu gibi gizlenmemiş kod) kullanan bir kampanya.
Rapora göre, “Komut dosyalarının yapısı, yorumları ve işlev adları ile değişkenlerin seçimi, tehdit aktörünün kötü amaçlı yazılımı oluşturmak için GenAI kullandığına dair güçlü ipuçlarıydı.”
Saldırganların daha ikna edici kimlik avı e-postaları yazmalarına yardımcı olmak için GenAI’yi zaten kullandıklarına yaygın olarak inanılıyor, ancak şu ana kadar bu teknolojinin kötü amaçlı kod yazmak için kullanıldığına dair çok az kanıt var. meşru chatbot araçlarının korkulukları vardır kötü niyetli kullanımı önleyen bir özellik. Ancak güvenlik uzmanları teknolojinin ortaya çıkışından bu yana bunun sadece zaman meselesi Tehdit aktörleri bu kapıların etrafından dolaşmanın bir yolunu bulmadan önce ve kötü niyetli chatbot geliştirme Dark Web’de bir fenomendir.
Araştırmacılar, kampanyanın, saldırganların GenAI kullanımında savunucuları alarma geçirecek şekilde hızlı bir şekilde seviye atladığını gösterdiğini belirtti. Rapora göre, “Etkinlik, GenAI’nin saldırıları nasıl hızlandırdığını ve siber suçluların uç noktalara veya kötü amaçlı dosyalara, daha birisinin gelen kutusuna ulaşmadan bulaşmasını sağlama çıtasını nasıl düşürdüğünü gösteriyor.”
Kötü Amaçlı Bir E-posta Kampanyasını Araştırmak
Araştırmacılar gizlenmiş faturayı keşfettiklerinde daha derine inerek ekin tarayıcıda açıldığında şifre isteyen bir HTML dosyası olduğunu buldular. İlk başta tehdidin bir şey olduğuna inandılar. HTML kaçakçılığı saldırısı; ancak HTML dosyasında saklanan veri bir arşiv içinde şifrelenmediğinden diğer tehditler gibi davranmadı.
Bunun yerine dosya, Gelişmiş Şifreleme Standardı (AES) kullanılarak ve herhangi bir hata yapılmadan uygulanarak JavaScript kodunun kendisi içinde şifrelendi. Bu, araştırmacıların dosyanın şifresini çözebilmesi için doğru şifreye ihtiyaç duyduğu anlamına geliyordu.
Sonunda, araştırma ekibi dosyaya doğru şifreyi kaba kuvvetle zorladı ve şifresi çözülen arşivin, çalıştırıldığında sonuçta dağıtılan bir enfeksiyon zincirini başlatan bir VBScript dosyası içerdiğini buldu. AsyncRAT. Rapora göre “VBScript, Windows Kayıt Defterine zincirde daha sonra yeniden kullanılacak çeşitli değişkenler yazıyor.”
Bu bulaşma zincirinin bir parçası, bir JavaScript dosyasının kullanıcı dizinine bırakılması ve daha sonra kayıt defterinden bir PowerShell betiğinin okunması ve bunu yeni başlatılan bir PowerShell işlemine eklemesidir. PowerShell betiği daha sonra diğer kayıt defteri değişkenlerini kullanır ve kötü amaçlı yazılım yükünü meşru bir sürece enjekte ettikten sonra başlatan iki yürütülebilir dosyayı daha çalıştırır.
GenAI Tarafından Oluşturulan Komut Dosyalarını Açma
Araştırmacılar, hem VBScript’in hem de enfeksiyon zincirinde kullanılan JavaScript’in daha derin bir analizi sonucunda kodun gizlenmediğini fark ettiler; bu da tuhaf görünüyordu çünkü kod gizleme, saldırganların genellikle izlerini gizlemek için kullandıkları bir şey.
Rapora göre “Aslında saldırgan, kod boyunca her satırın ne yaptığını açıklayan, basit işlevler için bile yorum bırakmıştı.” “Kötü amaçlı yazılımlarda gerçek kod yorumları nadirdir çünkü saldırganlar, kötü amaçlı yazılımların anlaşılmasını mümkün olduğunca zorlaştırmak isterler.”
Bu davranış ve komut dosyalarının yapısı, her işlev için tutarlı yorumlar ve işlev adları ile değişkenlerin seçimi, saldırganın makul derecede açık olduğunu ortaya koydu. GenAI kullanıldı HP Wolf Security’ye göre komut dosyalarını geliştirmek.
Artık tehdit aktörleri saldırı stratejilerinde GenAI’dan yararlanmaya başladıkça, savunmacıların da yangına ateşle karşılık vermek için teknolojiyi güvenlik duruşlarına entegre etmeleri gerekiyor. Kuruluşlar, saldırganların bir ortama sızma şansına sahip olmadan önce yetkisiz erişimi veya kötü niyetli niyeti tespit etmek amacıyla tehdit kalıplarını tanımak için GenAI’yi kullanabilir. Güvenlik araştırmacıları, aslında, GenAI’nin kötü niyetli aktörlere yönelik bir saldırı akışında yarattığı verimliliğin aynısının, savunmacılar tarafından da işlerini kolaylaştırmak için kullanılabileceğini söyledi.