Ar mākslīgo intelektu darbināta ļaunatūras rūpnīca: kā Transparent Tribe paplašina uzbrukumus pret Indiju

Kiberizspiegošanas ainava piedzīvo fundamentālas pārmaiņas, ģeneratīvajam mākslīgajam intelektam kļūstot no jaunuma par draudu izpildītāju rīkkopas pamatelementu. Jaunākie Bitdefender drošības pētnieku atklājumi izgaismo sarežģītu evolūciju Transparent Tribe taktiku attīstībā — tā ir ar Pakistānu saistīta progresīvu pastāvīgo draudu (APT) grupa, kas pazīstama arī kā APT36. Tradicionāli pazīstama ar savu koncentrēšanos uz Indijas valdības un militārajām struktūrām, grupa tagad ir pievērsusies ar MI darbinātiem kodēšanas asistentiem, lai pārietu no amatnieciskas ļaunatūras izstrādes uz liela apjoma automatizētu ražošanas līniju.

Šīs izmaiņas raksturo stratēģisku pavērsienu. Tā vietā, lai pilnveidotu vienu, īpaši sarežģītu spiegprogrammatūru, Transparent Tribe tagad pārpludina mērķa zonu ar to, ko pētnieki raksturo kā "liela apjoma, viduvējas kvalitātes implantu masu". Izmantojot MI, grupa var radīt desmitiem ļaunatūras variāciju, padarot tradicionālajiem, uz parakstiem balstītajiem drošības rīkiem ievērojami grūtāku sekot līdzi šim tempam.

Daudzvalodu ļaunatūras uzplaukums

Viens no spilgtākajiem šīs jaunās kampaņas aspektiem ir programmēšanas valodu izvēle. Lai gan lielākā daļa ļaunatūru vēsturiski balstās uz C++, C# vai Python, Transparent Tribe arvien biežāk izmanto nišas, modernas valodas, piemēram, Nim, Zig un Crystal. Šīs valodas ir īpaši efektīvas uzbrucējiem vairāku iemeslu dēļ.

Pirmkārt, tās ir "savstarpēji kompilējamas" (cross-compilable), kas nozīmē, ka vienu koda bāzi var viegli pārvērst par izpildāmo failu Windows, Linux vai macOS operētājsistēmām. Otrkārt, tāpēc, ka šīs valodas ir mazāk izplatītas uzņēmumu vidē, daudziem drošības produktiem trūkst specializētas heiristikas, kas nepieciešama, lai tās atzīmētu kā aizdomīgas. MI kodēšanas rīki lieliski palīdz tulkot loģiku šajās eksotiskajās valodās, ļaujot uzbrucējiem, kuri, iespējams, nav Zig vai Crystal eksperti, rekordīsā laikā izvietot funkcionālu ļaunatūru.

Dzīve mākonī: paslēpties redzamā vietā

Lai papildinātu savu MI ģenerēto kodu, Transparent Tribe ir pilnveidojusi savu vadības un kontroles (C2) infrastruktūru. Tā vietā, lai izmantotu speciālus, viegli bloķējamus serverus, grupa "dzīvo mākonī". Viņi pielāgo leģitīmus, uzticamus tīmekļa pakalpojumus, lai pārvaldītu inficētos saimniekdatorus un eksfiltrētu datus.

Izmantojot tādas platformas kā Slack, Discord, Supabase un Google Sheets, ļaunatūras trafiks nevainojami saplūst ar standarta biroja aktivitātēm. Kad ļaunatūra nosūta "sirdspukstu" (heartbeat) uz Google Sheets vai augšupielādē nozagtu dokumentu Discord tīmekļa āķī (webhook), tas reti izraisa trauksmi. Tīkla administratoram tas izskatās vienkārši pēc tā, ka lietotājs sadarbojas projektā vai izmanto parastu produktivitātes rīku. Šī paļaušanās uz uzticamiem pakalpojumiem rada ievērojamu "aklo zonu" organizācijām, kuras neveic padziļinātu pakešu pārbaudi vai uzvedības analīzi šifrētam mākoņa trafikam.

Kvantitāte pār kvalitāti: "viduvējās masas" stratēģija

Agrāk neveiksmīgs inficēšanas mēģinājums draudu izpildītājam bija neveiksme; tas nozīmēja, ka viņu rīks ir "atklāts" un nepieciešama tā pārrakstīšana. Transparent Tribe jaunā, uz MI balstītā pieeja apgriež šo loģiku kājām gaisā. Ražojot implantu "viduvējo masu", grupa pieņem, ka daudzi no viņu rīkiem tiks notverti.

Tomēr, tā kā ražošanas izmaksas, pateicoties MI, tagad ir tuvu nullei, viņi var vienkārši iterēt. Ja tiek atklāts viens uz Nim balstīts implants, MI pēc dažām minūtēm var ģenerēt nedaudz atšķirīgu versiju Zig valodā. Tas rada "novājināšanas karu", kurā aizstāvji ir spiesti reaģēt uz bezgalīgu unikālu, lai arī vienkāršu draudu plūsmu. Tā ir digitāla versija "Zerg rush" stratēģijai — pretinieka aizsardzības pārvarēšana ar milzīgu skaitu, nevis individuālu spēku.

Praktiski ieteikumi organizācijām

Tā kā draudu izpildītāji, piemēram, Transparent Tribe, automatizē savas darbplūsmas, aizstāvjiem ir jāpielāgo savas stratēģijas, koncentrējoties uz uzvedību, nevis specifiskiem failu parakstiem. Šeit ir kritiski soļi organizācijām, lai mazinātu šos mainīgos riskus:

• Ieviest uzvedības EDR/XDR: Tā kā MI var ģenerēt bezgalīgas failu variācijas, ar parakstiem balstītu antivīrusu vairs nepietiek. Galiekārtu noteikšanas un reaģēšanas (EDR) rīki, kas uzrauga aizdomīgu uzvedību — piemēram, procesu, kas pēkšņi sazinās ar Discord API — ir būtiski.
• Pārraudzīt mākoņa datu izplūdi: Organizācijām būtu jāauditē "ēnu IT" izmantošana un jāpārrauga trafiks uz tādām platformām kā Supabase vai Slack. Lai gan tie ir leģitīmi pakalpojumi, ir jāizpēta neparasti datu pārsūtīšanas modeļi uz šiem domēniem.
• No programmēšanas valodas neatkarīga skenēšana: Nodrošiniet, lai drošības smilškastes (sandboxes) un statiskās analīzes rīki būtu konfigurēti darbam ar mazāk izplatītām valodām, piemēram, Nim un Zig. Ja jūsu vidē šīs valodas nav nepieciešamas, apsveriet iespēju bloķēt ar tām kompilētu bināro failu izpildi.
• Nulles uzticības (Zero Trust) arhitektūra: Pieņemot, ka galiekārta galu galā tiks kompromitēta ar šo liela apjoma pieeju, organizācijas var koncentrēties uz laterālās kustības ierobežošanu un jutīgu datu aizsardzību, izmantojot stingras piekļuves kontroles.

Skats nākotnē

Transparent Tribe aktivitātes ir vēstnesis plašākai tendencei kiberdrošības pasaulē. Kļūstot spējīgākiem lielajiem valodas modeļiem (LLM), barjera sarežģītas kiberizspiegošanas uzsākšanai turpina pazemināties. Nākamajos gados izaicinājums būs ne tikai apturēt "labāko" ļaunatūru, bet gan tikt galā ar milzīgo "pietiekami labas" ļaunatūras apjomu, ko nodrošina MI.

Avoti

• Bitdefender Labs: Technical Analysis of Transparent Tribe's Latest Campaign
• MITRE ATT&CK: APT36 (Transparent Tribe) Profile
• Cybersecurity and Infrastructure Security Agency (CISA) Alerts on Living-off-the-Cloud Tactics