DI valdoma kenkėjiškos programinės įrangos gamykla: kaip „Transparent Tribe“ plečia atakas prieš Indiją

Kibernetinio šnipinėjimo kraštovaizdis iš esmės keičiasi, generatyviniam dirbtiniam intelektui virstant iš naujovės į pagrindinį grėsmių sukėlėjų įrankių rinkinio komponentą. Naujausios „Bitdefender“ saugumo tyrėjų išvados atskleidė sudėtingą „Transparent Tribe“ – su Pakistanu siejamos pažangių nuolatinių grėsmių (APT) grupės, dar žinomos kaip APT36 – taktikos evoliuciją. Tradiciškai žinoma dėl savo dėmesio Indijos vyriausybinėms ir karinėms institucijoms, grupė dabar pasitelkė DI valdomus kodavimo asistentus, kad pereitų nuo amatininkiško kenkėjiškų programų kūrimo prie didelės apimties automatizuotos gamybos linijos.

Šis pokytis reiškia strateginį posūkį. Užuot tobulinusi vieną, itin sudėtingą šnipinėjimo programą, „Transparent Tribe“ dabar užtvindo erdvę tuo, ką tyrėjai apibūdina kaip „didelės apimties, vidutiniškos kokybės implantų masę“. Naudodama DI, grupė gali sukurti dešimtis kenkėjiškų programų variacijų, todėl tradiciniams, parašais pagrįstiems saugumo įrankiams tampa žymiai sunkiau suspėti su jų tempu.

Poliglotinės kenkėjiškos programinės įrangos iškilimas

Vienas ryškiausių šios naujos kampanijos aspektų yra programavimo kalbų pasirinkimas. Nors dauguma kenkėjiškų programų istoriškai remiasi C++, C# arba „Python“, „Transparent Tribe“ vis dažniau naudoja nišines, modernias kalbas, tokias kaip „Nim“, „Zig“ ir „Crystal“. Šios kalbos užpuolikams yra ypač efektyvios dėl kelių priežasčių.

Pirma, jos yra „kryžmiškai kompiliuojamos“ (angl. cross-compilable), o tai reiškia, kad tą patį kodą galima lengvai paversti vykdomuoju failu „Windows“, „Linux“ ar „macOS“ sistemoms. Antra, kadangi šios kalbos rečiau sutinkamos įmonių aplinkoje, daugeliui saugumo produktų trūksta specializuotos heuristikos, reikalingos joms atpažinti kaip įtartinoms. DI kodavimo įrankiai puikiai susidoroja su logikos perkėlimu į šias egzotiškas kalbas, leisdami užpuolikams, kurie nebūtinai yra „Zig“ ar „Crystal“ ekspertai, per rekordinį laiką įdiegti veikiančią kenkėjišką programinę įrangą.

Gyvenimas iš debesijos: slėpimasis matomoje vietoje

Siekdama papildyti savo DI sugeneruotą kodą, „Transparent Tribe“ iš esmės atnaujino savo valdymo ir kontrolės (C2) infrastruktūrą. Užuot naudojusi tam skirtus, lengvai blokuojamus serverius, grupė „gyvena iš debesijos“ (angl. living off the cloud). Jie pritaiko teisėtas, patikimas žiniatinklio paslaugas savo užkrėstiems šeimininkams valdyti ir duomenims pasisavinti.

Naudojant tokias platformas kaip „Slack“, „Discord“, „Supabase“ ir „Google Sheets“, kenkėjiškų programų srautas puikiai susilieja su standartine biuro veikla. Kai kenkėjiška programa siunčia „širdies plakimo“ (angl. heartbeat) signalą į „Google Sheets“ arba įkelia pavogtą dokumentą į „Discord“ saistą (angl. webhook), tai retai sukelia pavojaus signalą. Tinklo administratoriui tai tiesiog atrodo kaip vartotojas, bendradarbiaujantis projekte arba naudojantis įprastą produktyvumo įrankį. Šis pasitikėjimas patikimomis paslaugomis sukuria didelę akląją zoną organizacijoms, kurios neatlieka gilios paketų patikros ar elgsenos analizės šifruotame debesijos sraute.

Kiekis prieš kokybę: „vidutiniškos masės“ strategija

Anksčiau nepavykęs bandymas užkrėsti sistemą grėsmės sukėlėjui būdavo nesėkmė; tai reiškė, kad jų įrankis buvo „sudegintas“ ir jį reikėjo perrašyti. Naujasis „Transparent Tribe“ DI pagrįstas požiūris apverčia šią logiką aukštyn kojomis. Gamindama „vidutinišką masę“ implantų, grupė susitaiko su tuo, kad daugelis jų įrankių bus sugauti.

Tačiau kadangi gamybos sąnaudos dėl DI dabar yra beveik nulinės, jie gali tiesiog kurti naujas iteracijas. Jei aptinkamas vienas „Nim“ pagrindu sukurtas implantas, DI po kelių minučių gali sugeneruoti šiek tiek kitokią versiją „Zig“ kalba. Tai sukuria „alininimo karą“, kuriame gynėjai yra priversti reaguoti į begalinį unikalių, nors ir paprastų, grėsmių srautą. Tai skaitmeninė „Zergų antplūdžio“ (angl. Zerg rush) strategijos versija – oponento gynybos triuškinimas ne individualia jėga, o tiesiog skaičiumi.

Praktiniai patarimai organizacijoms

Kadangi grėsmių sukėlėjai, tokie kaip „Transparent Tribe“, automatizuoja savo darbo eigą, gynėjai turi pritaikyti savo strategijas ir sutelkti dėmesį į elgseną, o ne į konkrečius failų parašus. Štai svarbiausi žingsniai organizacijoms, siekiančioms sušvelninti šią kintančią riziką:

• Įdiekite elgsenos EDR/XDR: Kadangi DI gali sugeneruoti begalę failo variacijų, parašais pagrįstos antivirusinės programos nebeužtenka. Galinių įrenginių aptikimo ir reagavimo (EDR) įrankiai, stebintys įtartiną elgseną – pavyzdžiui, procesą, staiga pradedantį komunikuoti su „Discord“ API – yra būtini.
• Stebėkite debesijos išėjimo srautą: Organizacijos turėtų audituoti „šešėlinio IT“ naudojimą ir stebėti srautą į tokias platformas kaip „Supabase“ ar „Slack“. Nors tai yra teisėtos paslaugos, neįprasti duomenų perdavimo į šiuos domenus modeliai turėtų būti tiriami.
• Nuo programavimo kalbos nepriklausomas skenavimas: Įsitikinkite, kad saugumo smėlio dėžės (angl. sandboxes) ir statinės analizės įrankiai yra sukonfigūruoti apdoroti rečiau pasitaikančias kalbas, tokias kaip „Nim“ ir „Zig“. Jei jūsų aplinkoje šios kalbos nėra būtinos, apsvarstykite galimybę blokuoti jomis sukompiliuotų dvejetainių failų vykdymą.
• Nulinio pasitikėjimo (Zero Trust) architektūra: Darant prielaidą, kad galinis įrenginys anksčiau ar vėliau bus pažeistas dėl šio didelės apimties požiūrio, organizacijos gali sutelkti dėmesį į šoninio judėjimo (angl. lateral movement) ribojimą ir jautrių duomenų apsaugą per griežtą prieigos kontrolę.

Žvilgsnis į ateitį

„Transparent Tribe“ veikla yra platesnės kibernetinio saugumo pasaulio tendencijos pranašas. Dideliems kalbos modeliams (LLM) tampant vis pajėgesniems, patekimo į sudėtingo kibernetinio šnipinėjimo sritį barjeras toliau mažėja. Ateinančių metų iššūkis bus ne tik sustabdyti „geriausią“ kenkėjišką programinę įrangą, bet ir suvaldyti milžinišką kiekį „pakankamai geros“ kenkėjiškos programinės įrangos, kurią įgalina DI.

Šaltiniai

• Bitdefender Labs: Technical Analysis of Transparent Tribe's Latest Campaign
• MITRE ATT&CK: APT36 (Transparent Tribe) Profile
• Cybersecurity and Infrastructure Security Agency (CISA) Alerts on Living-off-the-Cloud Tactics