www.marcommit.nlwww.whizpr.nlProgressCommunications.eu
www.deepr.nlProgressCommunications.euwww.deepr.nl

Volg ook via:
Datum: (2 jaar en 98 dagen geleden)
Bedrijf:
PR: AxiCom

Proofpoint onderzoek: TA547 richt zich op Duitse bedrijven met Rhadamanthys Stealer



Onderzoekers van Proofpoint identificeren een nieuwe e-mailcampagne van TA547. Deze richt zich op Duitse bedrijven en heeft als doel het afleveren van Rhadamanthys malware, een onder dreigingsactoren bekende information stealer. Onderzoekers zien Rhadamanthys nu voor het eerst bij TA547. De dreigingsactor gebruikt een PowerShell script die waarschijnlijk door een Large Language Model zoals ChatGPT, Gemini, of CoPilot is ontwikkeld.

E-mails afkomstig van de dreigingsactor doen het Duitse retailbedrijf Metro na en hebben een factuur gerelateerde inhoud.


Afbeelding 1. Voorbeeld van een TA547-email die zich voordoet als Duits retailbedrijf Metro.

De e-mails richten zich op bedrijven in verschillende sectoren in Duitsland en bevatten een met wachtwoord beveiligd zip-bestand met daarin een LNK-bestand. Zodra het LNK-bestand wordt uitgevoerd, activeert PowerShell om vervolgens een PowerShell-script op afstand uit te voeren. Dit script decodeert het Base64-gecodeerde uitboerbare Rhadamantys-bestand dat is opgeslagen als assemblage en voert vervolgens het invoerpunt van de assemblage uit. Dit zorgt dat de kwaadaardige code in het geheugen wordt ingevoerd zonder deze naar een schijf te schrijven.

Het tweede PowerShell script dat wordt gebruikt voor het leveren van de Rhadamantys, heeft interessante karakteristieken die niet vaak voorkomen in codes van dreigingsactoren (of programmeurs). Het PowerShell-script bevat een pondteken gevolgd door grammaticaal correcte en specifieke commentaar boven ieder onderdeel van het script. Dit is een typische output voor LLM-gegenereerde inhoud en wijst erop dat TA547 LLM-tools gebruikt voor het schrijven van PowerShell, of het script kopieert van andere bronnen.


Afbeelding 2. Voorbeeld van een door LLM geschreven PowerShell uit een aanvalsketen van TA547.

Hoewel het lastig is om te bevestigen of LLMs kwaadaardige inhoud genereren – van malwarescripts tot social engineering lokmiddelen – zijn er bepaalde kenmerken van de inhoud die wijzen op machinaal gegenereerde, in plaats van door mensen gemaakte informatie. Hoe dan ook, de verdediging blijft hetzelfde, ongeacht of de dreigingen afkomstig zijn van mensen of machines.

Toekenning
TA547 is een financieel gemotiveerde cybercriminele dreiging en wordt gezien als initial access broker (IAB). De dreigingsactor richt zich op verschillende geografische regio's. Sinds 2023 levert TA547 NetSupport RAT, maar ook andere payloads waaronder StealC en LummaStealer (information stealers met een gelijkaardige werking als Rhadamantys). In 2023 gebruikte de dreigingsactor gezipte JavaScript-bijlagen voor het leveren van initiële payloads, maar dit veranderde in maart 2024 naar gecomprimeerde LNK-bestanden. De dreigingsactor is, naast e-mailcampagnes in Duitsland, ook actief in Spanje, Zwitserland, Oostenrijk, en de Verenigde Staten.

Belang
Deze campagne toont verschillende techniekverschuivingen bij TA547, waaronder het gebruik van gecomprimeerde LNK's en de nog nooit eerder waargenomen Rhadamantys stealer. Het biedt ook inzicht in de manier waarop dreigingsactoren (waarschijnlijk) LLM gegenereerde inhoud gebruiken in malwarecampagnes.

LLMs helpen dreigingsactoren bij het analyseren van geavanceerde aanvalsketens van andere actoren voor het hergebruiken van deze technieken in eigen campagnes. Dreigingsactoren gebruiken deze bronnen bij het uitvoeren van campagnes, zoals bij LLM-gegenereerde social engineering lokmiddelen. De LLM gegeneerde inhoud in de aanvalsketen van TA547 heeft geen invloed op de doeltreffendheid van de malware en op de verdedigingstechnieken van securityprogramma's. LLM ontwikkelde hierbij codes voor het script voor het afleveren van de malware payloads, maar dit veranderde dus niets aan de payload zelf. LLM-gegenereerde phishing e-mails voor BEC (Business Email Compromise), die gebruikmaken van content ontwikkeld door mensen, worden - net zoals malware of scripts die machine-genereerd zijn en gehost worden in een sandbox – opgespoord door automatische detecties.

Lees voor meer informatie hier het volledige Engelse bericht.
Recent van Proofpoint  
Vervalsing van OAuth client-ID’s

Chinese dreigingsgroep richt zich op faculteiten van grote Noord-Amerikaanse universiteiten

TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit

Verstreken tijd: 2 jaar en 98 dagen
PR contact  

Logo AxiCom
Proofpoint contact  


Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo Productowner.nl
Logo ZAMKO
Logo Innvolve
Logo ClickPatrol
Logo NetRom Software
Logo RAVI RYAN MOHANLAL
Logo BTG
Logo NHA Opleidingen
Logo Polly.Help
Logo MI Consultancy
Logo Incentro
Logo Stromma Nederland
Logo Fairbanks
Logo Valid
Logo Westpoort
Logo DNA Services B.V.
Logo PQR
Logo Web Wings
Logo Spryng
Logo We talk SEO B.V.
Logo Victoria ID
Logo DNA Services B.V.
Logo Twenty Four Webvertising
Logo Web Wings
Logo Web Wings
Logo BusinessCom
Logo Msafe
Logo SCOS ViaCloud BV
Logo Keuze.nl BV
Logo Spryng
Logo Red Hat
Logo HCC
Logo Xebia
Logo Unit4
Logo reichelt elektronik
Logo Conclusion
Logo Schneider Electric
Logo Proofpoint
Logo PQR
Logo KnowBe4
Logo Web Wings
Logo Schneider Electric
Logo Learned
Logo Red Hat
Logo Veeam Software
TARIEVEN
Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
103950 persberichten
7050 bedrijfsprofielen
60 PR-bureauprofielen
17601 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
www.marcommit.nlwww.deepr.nlProgressCommunications.eu
www.deepr.nlINFLUX PRwww.whizpr.nl