Microsoft heeft onthuld dat aan Noord-Korea gelieerde, door de staat gesponsorde cyberactoren kunstmatige intelligentie (AI) zijn gaan gebruiken om hun activiteiten effectiever en efficiënter te maken.
“Ze leren tools te gebruiken die worden aangedreven door AI-grote taalmodellen (LLM) om hun activiteiten efficiënter en effectiever te maken”, zei de technologiegigant in zijn laatste rapport over hackgroepen in Oost-Azië.
Het bedrijf benadrukte specifiek een groep met de naam Emerald Sleet (ook bekend als Kimusky of TA427), waarvan is waargenomen dat ze LLM's gebruiken om spearphishing-inspanningen gericht op experts op het Koreaanse schiereiland te versterken.
De tegenstander zou ook hebben vertrouwd op de nieuwste ontwikkelingen op het gebied van AI om kwetsbaarheden te onderzoeken en verkenningen uit te voeren op organisaties en experts die zich op Noord-Korea richten, en zich aansluiten bij hackploegen uit China, die zich tot door AI gegenereerde inhoud hebben gewend voor beïnvloedingsoperaties.
Verder werden LLM's ingezet om technische problemen op te lossen, basisscripttaken uit te voeren en inhoud voor spearphishing-berichten op te stellen, zei Redmond, eraan toevoegend dat het samenwerkte met OpenAI om accounts en middelen uit te schakelen die verband houden met de bedreigingsactor.
Volgens een rapport dat vorige week door bedrijfsbeveiligingsbedrijf Proofpoint werd gepubliceerd, “houdt de groep zich bezig met goedaardige gespreksstartcampagnes om contact te leggen met doelwitten voor langdurige uitwisseling van informatie over onderwerpen die van strategisch belang zijn voor het Noord-Koreaanse regime.”
De modus operandi van Kimsuky omvat het inzetten van denktank- en niet-gouvernementele organisaties-gerelateerde persona's om zijn e-mails te legitimeren en de kans op succes van de aanval te vergroten.
De afgelopen maanden is de natiestatelijke actor echter begonnen met het misbruiken van het lakse DMARC-beleid (Domain-based Message Authentication, Reporting, and Conformance) om verschillende persona’s te vervalsen en webbakens (dat wil zeggen trackingpixels) op te nemen voor doelprofilering. “behendigheid bij het aanpassen van zijn tactiek.”
“De webbakens zijn waarschijnlijk bedoeld als eerste verkenning om te valideren of gerichte e-mails actief zijn en om fundamentele informatie te verkrijgen over de netwerkomgevingen van de ontvangers, inclusief extern zichtbare IP-adressen, User-Agent van de host en het tijdstip waarop de gebruiker de e-mail heeft geopend,” Proofpoint gezegd.
Deze ontwikkeling komt op het moment dat Noord-Koreaanse hackgroepen zich blijven bezighouden met cryptocurrency-overvallen en supply chain-aanvallen, waarbij een bedreigingsacteur genaamd Jade Sleet in verband wordt gebracht met de diefstal van minstens $35 miljoen van een Ests cryptobedrijf in juni 2023 en meer dan $125 miljoen van een Het in Singapore gevestigde cryptocurrency-platform een maand later.
Er is ook waargenomen dat Jade Sleet, die overlapt met clusters die worden gevolgd als TraderTraitor en UNC4899, in augustus 2023 online cryptocurrency-casino's aanviel, om nog maar te zwijgen van het gebruik van nep GitHub-repo's en bewapende npm-pakketten om werknemers van cryptocurrency- en technologieorganisaties te onderscheiden.
In een ander geval werd een in Duitsland gevestigd IT-bedrijf in augustus 2023 gecompromitteerd door Diamond Sleet (ook bekend als Lazarus Group) en bewapende het een applicatie van een in Taiwan gevestigd IT-bedrijf om in november 2023 een supply chain-aanval uit te voeren.
“Dit zal waarschijnlijk inkomsten genereren, voornamelijk voor het wapenprogramma, naast het verzamelen van informatie over de Verenigde Staten, Zuid-Korea en Japan”, zegt Clint Watts, algemeen directeur van het Microsoft Threat Analysis Center (MTAC).
De Lazarus Group staat ook bekend om het gebruik van ingewikkelde methoden zoals Windows Phantom DLL Hijacking en Transparency, Consent, and Control (TCC) databasemanipulatie in respectievelijk Windows en macOS om de beveiligingsbescherming te ondermijnen en malware te implementeren, wat bijdraagt aan de verfijning en ongrijpbare aard ervan. per Interpres-beveiliging.
De bevindingen komen tegen de achtergrond van een nieuwe campagne, georkestreerd door de Konni-groep (ook bekend als Vedalia), die Windows-snelkoppelingsbestanden (LNK) gebruikt om kwaadaardige ladingen af te leveren.
“De bedreigingsacteur gebruikte dubbele extensies om de oorspronkelijke .lnk-extensie te verbergen, waarbij de waargenomen LNK-bestanden overmatig veel witruimte bevatten om de kwaadaardige opdrachtregels te verbergen”, aldus Symantec. “Als onderdeel van de aanvalsvector zocht het opdrachtregelscript naar PowerShell om detectie te omzeilen en ingebedde bestanden en de kwaadaardige lading te lokaliseren.”
