Microsoft, Kuzey Kore bağlantılı devlet destekli siber aktörlerin operasyonlarını daha etkili ve verimli hale getirmek için yapay zekayı (AI) kullanmaya başladığını açıkladı.
Teknoloji devi, “Operasyonlarını daha verimli ve etkili hale getirmek için AI büyük dil modelleri (LLM) tarafından desteklenen araçları kullanmayı öğreniyorlar” dedi. söz konusu Doğu Asya hack grupları hakkındaki son raporunda.
Şirket, özellikle Kore Yarımadası uzmanlarına yönelik hedef odaklı kimlik avı çabalarını desteklemek için LLM’leri kullandığı gözlemlenen Emerald Sleet (diğer adıyla Kimusky veya TA427) adlı bir gruba dikkat çekti.
Düşmanın ayrıca, güvenlik açıklarını araştırmak ve Kuzey Kore’ye odaklanan kuruluşlar ve uzmanlar üzerinde keşif yapmak için yapay zekadaki en son gelişmelere güvendiği ve etki operasyonları için yapay zeka tarafından oluşturulan içeriğe yönelen Çin’deki bilgisayar korsanlığı ekiplerine katıldığı söyleniyor.
Ayrıca teknik sorunları gidermek, temel komut dosyası oluşturma görevlerini yürütmek ve hedef odaklı kimlik avı mesajları için içerik taslağı hazırlamak için LLM’leri kullandığını belirten Redmond, tehdit aktörüyle ilişkili hesapları ve varlıkları devre dışı bırakmak için OpenAI ile birlikte çalıştığını da sözlerine ekledi.
Kurumsal güvenlik firması Proofpoint tarafından geçen hafta yayınlanan bir rapora göre grup, “Kuzey Kore rejimi için stratejik öneme sahip konularda uzun vadeli bilgi alışverişi için hedeflerle temas kurmak amacıyla iyi niyetli sohbet başlatıcı kampanyalar yürütüyor.”
Kimsuky’nin çalışma yöntemi, e-postalarını meşrulaştırmak ve saldırının başarı olasılığını artırmak için düşünce kuruluşları ve sivil toplum kuruluşlarıyla ilgili kişilerden yararlanmayı içeriyor.
Ancak son aylarda ulus devlet aktörü, çeşitli kişileri yanıltmak ve hedef profili oluşturmak için web işaretlerini (yani izleme piksellerini) dahil etmek için gevşek Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) politikalarını kötüye kullanmaya başladı. “Taktiklerini ayarlamada çeviklik.”
“Web işaretçileri muhtemelen hedeflenen e-postaların aktif olduğunu doğrulamak ve harici olarak görülebilen IP adresleri, ana bilgisayarın Kullanıcı Aracısı ve kullanıcının e-postayı açtığı zaman dahil olmak üzere alıcıların ağ ortamları hakkında temel bilgileri elde etmek için ilk keşif olarak tasarlanmıştır.” Kanıt noktası söz konusu.
Bu gelişme, Kuzey Koreli bilgisayar korsanlığı gruplarının kripto para birimi soygunlarına ve tedarik zinciri saldırılarına katılmaya devam etmesiyle birlikte geliyor; Jade Sleet adlı bir tehdit aktörü, Haziran 2023’te Estonyalı bir kripto firmasından en az 35 milyon dolar ve bir kripto para şirketinden 125 milyon doların üzerinde paranın çalınmasıyla bağlantılı. Bir ay sonra Singapur merkezli kripto para platformu.
TraderTraitor ve UNC4899 olarak takip edilen kümelerle örtüşen Jade Sleet’in, kripto para birimi ve teknoloji kuruluşlarının çalışanlarını ayırmak için sahte GitHub depolarından ve silahlandırılmış npm paketlerinden yararlanmasının yanı sıra, Ağustos 2023’te çevrimiçi kripto para birimi kumarhanelerine saldırdığı da gözlemlendi.
Başka bir örnekte, Almanya merkezli bir BT şirketinin güvenliği Ağustos 2023’te Diamond Sleet (diğer adıyla Lazarus Group) tarafından ele geçirildi ve Kasım 2023’te Tayvan merkezli bir BT firmasının bir uygulamasını tedarik zinciri saldırısı gerçekleştirmek için silah haline getirdi.
Microsoft Tehdit Analiz Merkezi (MTAC) genel müdürü Clint Watts, “Bu, ABD, Güney Kore ve Japonya hakkında istihbarat toplamanın yanı sıra, esas olarak silah programı için de gelir yaratacaktır” dedi.
Lazarus Grubu ayrıca Windows gibi karmaşık yöntemleri kullanmasıyla da dikkat çekiyor Hayalet DLL Ele Geçirme ve Şeffaflık, Rıza ve Kontrol (TTK) güvenlik korumalarını zayıflatmak ve kötü amaçlı yazılım dağıtmak için sırasıyla Windows ve macOS’ta veritabanı manipülasyonu, bu da onun karmaşıklığına ve anlaşılması zor doğasına katkıda bulunur. Interpres Güvenliği.
Bulgular, kötü amaçlı yükler dağıtmak için Windows kısayol (LNK) dosyalarını kullanan Konni (diğer adıyla Vedalia) grubu tarafından düzenlenen yeni bir kampanyanın arka planında ortaya çıktı.
Symantec, “Tehdit aktörü orijinal .lnk uzantısını gizlemek için çift uzantı kullandı; LNK dosyalarının kötü amaçlı komut satırlarını gizlemek için aşırı boşluk içerdiği gözlemlendi.” söz konusu. “Saldırı vektörünün bir parçası olarak komut satırı komut dosyası, algılamayı atlamak ve gömülü dosyaları ve kötü amaçlı yükü bulmak için PowerShell’i aradı.”
