Een bedreigingsacteur gevolgd als TA547 heeft tientallen Duitse organisaties aangevallen met een informatiedief genaamd Rhadamanthys als onderdeel van een phishing-campagne met factuurthema.
“Dit is de eerste keer dat onderzoekers hebben waargenomen dat TA547 Rhadamanthys gebruikt, een informatiedief dat door meerdere cybercriminele dreigingsactoren wordt gebruikt”, aldus Proofpoint. “Bovendien leek de acteur een PowerShell-script te gebruiken waarvan onderzoekers vermoeden dat het werd gegenereerd door een groot taalmodel (LLM).”
TA547 is een productieve, financieel gemotiveerde bedreigingsacteur waarvan bekend is dat hij al sinds november 2017 actief is en phishing-lokmiddelen via e-mail gebruikt om een verscheidenheid aan Android- en Windows-malware te verspreiden, zoals ZLoader, Gootkit, DanaBot, Ursnif en zelfs Adhubllka-ransomware.
De groep heeft zich de afgelopen jaren ontwikkeld tot een Initial Access Broker (IAB) voor ransomware-aanvallen. Er is ook waargenomen dat geofencing-trucs worden gebruikt om de lading tot specifieke regio's te beperken.
De e-mailberichten die zijn waargenomen als onderdeel van de nieuwste campagne imiteren het Duitse bedrijf Metro AG en bevatten een met een wachtwoord beveiligd ZIP-bestand met daarin een ZIP-archief dat, wanneer het wordt geopend, de uitvoering van een extern PowerShell-script initieert om de Rhadamanthys-diefstal rechtstreeks in het geheugen te starten.
Interessant is dat het PowerShell-script dat wordt gebruikt om Rhadamanthys te laden “grammaticaal correcte en hyperspecifieke opmerkingen” bevat voor elke instructie in het programma, waardoor de mogelijkheid ontstaat dat deze mogelijk is gegenereerd (of herschreven) met behulp van een LLM.
De alternatieve hypothese is dat TA547 het script heeft gekopieerd van een andere bron die generatieve AI-technologie had gebruikt om het te maken.
“Deze campagne is een voorbeeld van enkele techniekverschuivingen ten opzichte van TA547, waaronder het gebruik van gecomprimeerde LNK's en een voorheen onopgemerkte Rhadamanthys-stealer”, aldus Proofpoint. “Het biedt ook inzicht in hoe bedreigingsactoren waarschijnlijk door LLM gegenereerde inhoud gebruiken in malwarecampagnes.”
Deze ontwikkeling komt omdat phishing-campagnes ook gebruik maken van ongebruikelijke tactieken om aanvallen op het verzamelen van inloggegevens te vergemakkelijken. In deze e-mails worden de ontvangers op de hoogte gebracht van een gesproken bericht en wordt hen gevraagd op een link te klikken om het bericht te openen.
De payload die uit de URL wordt opgehaald, bestaat uit sterk versluierde HTML-inhoud waarin JavaScript-code wordt uitgevoerd die is ingebed in een SVG-afbeelding wanneer de pagina wordt weergegeven op het doelsysteem.
Aanwezig in de SVG-gegevens zijn “gecodeerde gegevens die een tweede fasepagina bevatten waarin het doelwit wordt gevraagd zijn inloggegevens in te voeren om toegang te krijgen tot het gesproken bericht”, zei Binary Defense, eraan toevoegend dat de pagina is gecodeerd met CryptoJS.
Andere op e-mail gebaseerde aanvallen hebben de weg vrijgemaakt voor Agent Tesla, dat naar voren is gekomen als een aantrekkelijke optie voor bedreigingsactoren omdat het “een betaalbare malwareservice is met meerdere mogelijkheden om gebruikersgegevens te exfiltreren en te stelen”, aldus Cofense.
Social engineering-campagnes hebben ook de vorm aangenomen van kwaadaardige advertenties die worden weergegeven op zoekmachines zoals Google en die nietsvermoedende gebruikers ertoe verleiden valse installatieprogramma's te downloaden voor populaire software zoals PuTTY, FileZilla en Room Planner om uiteindelijk Nitrogen en IDAT Loader te implementeren.
De infectieketen die verband houdt met IDAT Loader is opmerkelijk vanwege het feit dat het MSIX-installatieprogramma wordt gebruikt om een PowerShell-script te starten dat op zijn beurt contact opneemt met een Telegram-bot om een tweede PowerShell-script op te halen dat op de bot wordt gehost.
Dit PowerShell-script fungeert vervolgens als kanaal om een ander PowerShell-script af te leveren dat wordt gebruikt om de AMSI-beveiligingen (Windows Antimalware Scan Interface) te omzeilen en de uitvoering van de loader te activeren, die vervolgens doorgaat met het laden van de SectopRAT-trojan.
“Eindpunten kunnen worden beschermd tegen kwaadaardige advertenties via groepsbeleid dat het verkeer beperkt dat afkomstig is van de belangrijkste en minder bekende advertentienetwerken”, zegt Jérôme Segura, hoofdonderzoeker op het gebied van bedreigingen bij Malwarebytes.