Tehisintellektil põhinev pahavaratehas: kuidas Transparent Tribe laiendab rünnakuid India vastu

Küberluure maastik on läbi tegema põhjalikku muutust, kuna generatiivne tehisintellekt on muutumas uudsest nähtusest ohustajate tööriistakomplekti põhikomponendiks. Bitdefenderi turvauurijate hiljutised leiud on heitnud valgust Pakistaniga seostatava arenenud püsiva ohu (APT) rühmituse Transparent Tribe (tuntud ka kui APT36) taktika keerukale evolutsioonile. Traditsiooniliselt India valitsus- ja sõjaväeüksustele keskendunud rühmitus on nüüd võtnud kasutusele tehisintellektil põhinevad koodiabi tööriistad, et liikuda käsitöönduslikult pahavaraarenduselt üle suuremahulisele automatiseeritud tootmisliinile.

See muutus tähistab strateegilist pööret. Selle asemel, et täiustada ühte keerukat nuhkvaraprogrammi, ujutab Transparent Tribe piirkonna üle sellega, mida uurijad kirjeldavad kui "suuremahulist keskpärast implantide massi". Tehisintellekti abil suudab rühmitus toota kümneid pahavara variatsioone, mis muudab traditsioonilistel signatuuripõhistel turvatööriistadel sammu pidamise märkimisväärselt raskemaks.

Polüglott-pahavara tõus

Selle uue kampaania üks silmapaistvamaid aspekte on programmeerimiskeelte valik. Kui enamik pahavara tugineb ajalooliselt C++, C# või Pythoni keeltele, siis Transparent Tribe kasutab üha enam nišikeeli ja kaasaegseid keeli nagu Nim, Zig ja Crystal. Need keeled on ründajatele eriti tõhusad mitmel põhjusel.

Esiteks on need "ristkompileeritavad", mis tähendab, et ühte koodibaasi saab hõlpsasti muuta käivitatavaks failiks Windowsi, Linuxi või macOS-i jaoks. Teiseks, kuna need keeled on ettevõttekeskkonnas vähem levinud, puuduvad paljudel turvatoodetel spetsialiseeritud heuristikad, mis on vajalikud nende kahtlaseks märkimiseks. Tehisintellekti kooditööriistad on suurepärased loogika tõlkimisel nendesse eksootilistesse keeltesse, võimaldades ründajatel, kes ei pruugi olla Zigi või Crystali eksperdid, juurutada funktsionaalset pahavara rekordajaga.

Pilvepõhine eluviis: peitumine kõigi silme all

Tehisintellekti loodud koodi täiendamiseks on Transparent Tribe uuendanud oma käsu- ja kontrolli- (C2) infrastruktuuri. Selle asemel, et kasutada spetsiaalseid, kergesti blokeeritavaid servereid, "elab rühmitus pilves". Nad kohandavad legitiimseid ja usaldusväärseid veebiteenuseid oma nakatunud hostide haldamiseks ja andmete väljastamiseks.

Kasutades selliseid platvorme nagu Slack, Discord, Supabase ja Google Sheets, sulandub pahavara liiklus täiuslikult tavapärase kontoritegevusega. Kui pahavara saadab "elumärgi" Google Sheetsi või laadib varastatud dokumendi üles Discordi veebikonksu (webhook) kaudu, vallandab see harva häire. Võrguadministraatorile näib see lihtsalt nii, nagu kasutaja teeks projekti raames koostööd või kasutaks tavalist produktiivsustööriista. See sõltuvus usaldusväärsetest teenustest tekitab märkimisväärse pimeala organisatsioonidele, mis ei teosta krüpteeritud pilveliikluse süvapakettkontrolli ega käitumisanalüüsi.

Kvantiteet kvaliteedi asemel: "keskpärase massi" strateegia

Varem oli ebaõnnestunud nakatamiskatse ohustajale tagasilöök; see tähendas, et nende tööriist oli "paljastatud" ja vajas ümberkirjutamist. Transparent Tribe'i uus tehisintellektipõhine lähenemine pöörab selle loogika pea peale. Tootes implantide "keskpärast massi", lepib rühmitus sellega, et paljud nende tööriistad avastatakse.

Kuna aga tootmiskulu on tänu tehisintellektile nüüd peaaegu null, saavad nad lihtsalt uusi versioone luua. Kui üks Nim-põhine implant tuvastatakse, suudab tehisintellekt minuteid hiljem genereerida veidi erineva versiooni Zig-keeles. See tekitab "kurnamissõja", kus kaitsjad on sunnitud reageerima lõputule unikaalsete, ehkki lihtsate ohtude voole. See on digitaalne versioon "Zerg rush" strateegiast — vastase kaitse üleujutamine puhta massi, mitte individuaalse tugevuse kaudu.

Praktilised nõuanded organisatsioonidele

Kuna ohustajad nagu Transparent Tribe automatiseerivad oma töövooge, peavad kaitsjad kohandama oma strateegiaid, et keskenduda käitumisele, mitte konkreetsetele failisignatuuridele. Siin on kriitilised sammud organisatsioonidele nende arenevate riskide leevendamiseks:

• Rakendage käitumispõhist EDR/XDR-i: Kuna tehisintellekt suudab genereerida failist lõputult variatsioone, ei piisa enam signatuuripõhisest viirusetõrjest. Olulised on lõppseadmete tuvastamise ja reageerimise (EDR) tööriistad, mis jälgivad kahtlast käitumist — näiteks protsessi ootamatut suhtlust Discordi API-ga.
• Jälgige pilveliiklust (Egress): Organisatsioonid peaksid auditeerima "varitarkvara" (shadow IT) kasutamist ja jälgima liiklust sellistele platvormidele nagu Supabase või Slack. Kuigi need on legitiimsed teenused, tuleks uurida ebatavalisi andmeedastusmustreid nendesse domeenidesse.
• Keeleülene skannimine: Veenduge, et turvalised liivakastid ja staatilise analüüsi tööriistad on konfigureeritud käsitlema vähem levinud keeli nagu Nim ja Zig. Kui teie keskkond neid keeli ei vaja, kaaluge nendega kompileeritud binaarfailide käivitamise blokeerimist.
• Nullusalduse (Zero Trust) arhitektuur: Eeldades, et lõppseade võidakse selle suuremahulise lähenemisviisi tõttu lõpuks kompromiteerida, saavad organisatsioonid keskenduda külgsuunalise liikumise piiramisele ja tundlike andmete kaitsmisele rangete juurdepääsukontrollide kaudu.

Vaade tulevikku

Transparent Tribe'i tegevus on kuulutajaks laiemale trendile küberturvalisuse maailmas. Kuna suured keelemudelid (LLM) muutuvad võimekamaks, langeb barjäär keeruka küberluurega alustamiseks jätkuvalt. Järgnevate aastate väljakutse ei ole ainult "parima" pahavara peatamine, vaid tehisintellekti poolt võimalikuks tehtud "piisavalt hea" pahavara tohutu mahu haldamine.

Allikad

• Bitdefender Labs: Technical Analysis of Transparent Tribe's Latest Campaign
• MITRE ATT&CK: APT36 (Transparent Tribe) Profile
• Cybersecurity and Infrastructure Security Agency (CISA) Alerts on Living-off-the-Cloud Tactics