A Microsoft revelou que atores cibernéticos patrocinados pelo estado da Coreia do Norte começaram a usar inteligência artificial (AI) para tornar suas operações mais eficazes e eficientes.
"Eles estão aprendendo a usar ferramentas alimentadas por modelos de linguagem de AI (LLM) para tornar suas operações mais eficientes e eficazes," disse a gigante da tecnologia em seu último relatório sobre grupos de hackers do Leste Asiático.
A empresa destacou especificamente um grupo chamado Emerald Sleet (também conhecido como Kimusky ou TA427), que foi observado usando LLMs para reforçar esforços de spear-phishing direcionados a especialistas da Península Coreana.
O adversário também é dito como tendo se baseado nos últimos avanços em AI para pesquisar vulnerabilidades e realizar reconhecimento em organizações e especialistas focados na Coreia do Norte, juntando-se a grupos de hackers da China, que recorreram a conteúdo gerado por AI para operações de influência.
Além disso, empregaram LLMs para solucionar problemas técnicos, realizar tarefas básicas de script e redigir conteúdo para mensagens de spear-phishing, disse Redmond, acrescentando que trabalhou com a OpenAI para desativar contas e ativos associados ao ator de ameaça.
De acordo com um relatório publicado pela empresa de segurança empresarial Proofpoint na semana passada, o grupo "participa de campanhas iniciais de conversas benignas para estabelecer contato com alvos para trocas de informações a longo prazo sobre tópicos de importância estratégica para o regime norte-coreano." O modus operandi do Kimsuky envolve o aproveitamento de personas relacionadas a think tanks e organizações não governamentais para legitimar seus emails e aumentar a probabilidade de sucesso do ataque.
Nos últimos meses, no entanto, o ator estatal começou a abusar de políticas DMARC frouxas para falsificar várias personas e incorporar web beacons (i.e., pixels de rastreamento) para a elaboração de perfis de alvo, indicando sua "agilidade em ajustar suas táticas." "Os web beacons são provavelmente destinados como reconhecimento inicial para validar que emails alvo estão ativos e para obter informações fundamentais sobre os ambientes de rede dos destinatários, incluindo endereços IP visíveis externamente, User-Agent do host e o momento em que o usuário abriu o email," disse a Proofpoint.
Este desenvolvimento ocorre à medida que grupos de hackers norte-coreanos continuam a se envolver em roubos de criptomoedas e ataques à cadeia de suprimentos, com um ator de ameaça chamado Jade Sleet vinculado ao roubo de pelo menos $35 milhões de uma empresa de criptomoedas estoniana em junho de 2023 e mais de $125 milhões de uma plataforma de criptomoedas com sede em Singapura um mês depois.
Jade Sleet, que se sobrepõe a clusters rastreados como TraderTraitor e UNC4899, também foi observado atacando cassinos online de criptomoedas em agosto de 2023, sem mencionar o uso de repositórios GitHub falsos e pacotes npm armamentizados para mirar em funcionários de organizações de criptomoedas e tecnologia.
Em outro caso, uma empresa de TI com sede na Alemanha foi comprometida por Diamond Sleet (também conhecido como Grupo Lazarus) em agosto de 2023 e armamentizou um aplicativo de uma empresa de TI com sede em Taiwan para realizar um ataque à cadeia de suprimentos em novembro de 2023.
"Isso é provavelmente para gerar receita, principalmente para seu programa de armas, além de coletar inteligência sobre os Estados Unidos, Coreia do Sul e Japão," disse Clint Watts, gerente geral do Centro de Análise de Ameaças da Microsoft (MTAC).
O Grupo Lazarus também é notável por empregar métodos complexos como Windows Phantom DLL Hijacking e manipulação da base de dados Transparency, Consent, and Control (TCC) no Windows e macOS, respectivamente, para minar proteções de segurança e implantar malware, contribuindo para sua sofisticação e natureza elusiva, segundo a Interpres Security.
As descobertas vêm na esteira de uma nova campanha orquestrada pelo grupo Konni (também conhecido como Vedalia) que usa arquivos de atalho do Windows (LNK) para entregar payloads maliciosos.
"O ator de ameaça utilizou extensões duplas para ocultar a extensão .lnk original, com os arquivos LNK observados contendo espaços em branco excessivos para ocultar as linhas de comando maliciosas," disse a Symantec.
Como parte do vetor de ataque, o script de linha de comando procurou por PowerShell para evitar detecção e localizar arquivos embutidos e o payload malicioso.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...