Cybuloviny 6/2024

Kdo se nezajímá o LLM, jako by nebyl! To neplatí pro americkou tajnou službu CIA a GitHub projekt pro sledování využívání AI ze strany kybernetických útočníků. APT28 už je takovým naším evergreenem a nechybí ani v tomto týdnu, tentokrát v útocích na polské instituce.

Hezké čtení!

Tým Cybule

Obsah:

  • Polské vládní instituce čelí rozsáhlé spearphishingové kampani ruské APT28
  • Microsoft představuje LLM pro práci s utajovanými informacemi
  • Projekt na GitHubu mapuje známé případy použití umělé inteligence ze strany aktérů kybernetických hrozeb

Polské vládní instituce čelí rozsáhlé spearphishingové kampani ruské APT28

(8.5.2024, cert.pl)

Polský CERT (CSIRT NASK) a CSIRT MON odhalil rozsáhlou spearphishingovou kampaň zaměřenou na polské vládní instituce. Na základě technických identifikátorů a podobností s dřívějšími útoky (především s těmi na ukrajinské subjekty) lze kampaň spojit s aktivitou APT28. K dané kampani polský CERT poskytl řadu IOCs, dostupných na uvedeném odkaze.

Co potřebujete vědět:
  • Cílem spearphishingové kampaně bylo přimět oběť k otevření škodlivého odkazu. Odkaz směřoval na doménu run.mocky.io, která je běžně používána vývojáři pro testování a vývoj API.
  • V tomto případě byla stránka použita pouze k přesměrování na jinou webovou stránku a to na webhook.site umožňující logování všech dotazů na vygenerovanou adresu a konfiguraci odpovědí na ně. Webhook.site je populární i mezi IT profesionály.
  • Z webu webhook.site byl stažen archiv ZIP, jehož název naznačuje, že se jedná o soubor obsahující fotografie. Začíná označením IMG- a končí náhodným číslem (např. IMG-238279780.zip). Po kliknutí na archiv se oběti, při výchozím nastavení systému Windows (skryté soubory a skryté přípony se nezobrazují), zobrazí následující pohled:

Zobrazení archivu (CERT.PL)

  • Archiv ve skutečnosti obsahuje tři soubory: kalkulačku Windows se změněným názvem, např. IMG-238279780.jpg.exe, která se vydává za fotografie a vybízí oběť ke kliknutí a dva skryté soubory – skript .bat a falešnou knihovnu WindowsCodecs.dll.
  • Pokud oběť spustí soubor IMG-238279780.jpg.exe, dojde k načtení knihovny WindowsCodecs.dll, prostřednictvím techniky DLL Side-Loading. Jediným úkolem knihovny DLL je spustit vložený skript BAT.
  • Skript BAT otevře prohlížeč Microsoft Edge, který načte obsah stránky v base64 a stáhne další batch skript (rovněž pomocí webové stránky webhook.site). Prohlížeč zároveň zobrazí fotografie skutečné ženy v plavkách spolu s odkazy na její reálné účty na sociálních sítí. To má za cíl učinit narativ útočníků věrohodným a zmást pozornost příjemce.
  • Skript uloží stažený soubor s příponou .jpg na disk, změní příponu z .jpg na .cmd a nakonec jej spustí.
  • Tento skript tvoří základní cyklus programu. V cyklu for /l %n in () nejprve čeká 5 minut a poté podobně jako předtím stáhne další skript pomocí prohlížeče Microsoft Edge a odkazu na webhook.site a spustí jej. Tentokrát se stáhne soubor s příponou .css, poté se jeho přípona změní na .cmd a spustí se.
  • Skript shromažďuje pouze informace o počítači (IP adresu a seznam souborů ve vybraných složkách), na kterém byl spuštěn, a poté je odešle na C2 server. Pravděpodobně počítače obětí vybraných útočníky dostávají jinou sadu koncového skriptu.
  • Celý průběh útoku je znázorněn na následující infografice. Jeho průběh je totožný s průběhem malwaru HEADLACE.

Schéma průběhu útoku (CERT.PL)

Komentář Cybule: Odhalení spearphishingové kampaně APT28 ze strany Polska přichází týden po provedené atribuci ze strany Neměcka a České republiky. Opětovným cílem byl sběr informací o napadených systémech, kde lze předpokládat, že tyto informace budou dále vyhodnocovány a využity k následným sofistifikovaným útokům, ať už ze strany APT28, nebo jiných ruských skupin. Zároveň je důležité poznamenat, že zneužití běžně dostupných služeb jako je webhook.site, namísto vlastních domén, ztěžuje detekci škodlivých odkazů a snižuje náklady na provoz kampaně. Jedná se o trend, se kterým se setkáváme u mnoha APT skupin, nicméně prozatím ne v takovém rozsahu jako u APT28.

Microsoft představuje LLM pro práci s utajovanými informacemi

(8.5.2024, Quartz)

Microsoft zavádí AI nástroj na základě GPT-4 pro potřeby zpravodajských služeb USA, který funguje na uzavřené sítí izolované od internetu, a je proto vhodný k analýze citlivých a utajovaných informací. Služba má řešit obavy ohledně ochrany soukromí a bezpečnosti při zpracování dat. Služba Microsoftu pro zpravodajské služby je s největší pravděpodobností prvním velkým jazykovým modelem (LLM) určený pro práci s utajovanými informacemi (UI). CIA vloni uvedla do provozu vlastní nástroj AI podobný ChatGPT k procházení velkého množství otevřených informací. Tento model AI však nebyl použit na žádnou utajovanou dokumentaci.

Co potřebujete vědět:
  • Rychlý nástup LLM služeb přinesl vážná rizika nechtěného úniku citlivých informací. V dubnu 2023 vyšlo najevo, že zaměstnanci Samsungu vkládali do ChatGPT citlivé korporátní informace, které následně unikly do otevřeného internetu. Podobná rizika jsou nepřijatelná při práci s utajovanými informacemi.
  • Zatímco pro běžného uživatele je přístup LLM k otevřenému internetu výhodou, stinnou stránkou jsou tzv. “halucinace”, tj. stav, kdy LLM vytvoří výstup, který je srozumitelný a gramaticky správný, ale informace v něm obsažené jsou zavádějící nebo přímo nepravdivé. Použití LLM na uzavřené databázi, již ověřených informací má potenciál výrazně urychlit analýzu zpravodajských informací.
  • Microsoft není jedinou společností, která zavádí LLM upravené pro potřeby zpracování a analýzu informací v uzavřeném prostředí. Google představil 6. května, v průběhu letošní RSA konference, novou službu Google Threat Intelligence s integrovaným LLM Gemini in Threat Intelligence. Kyberbezpečnostní společnost CrowdStrike představila v roce 2023 službu Charlotte, která funguje v rámci portálu služeb Falcon. V obou případech se jedná o nástroje, které mají bezpečnostním analytikům usnadnit práci s velkým množstvím dat a včas identifikovat identifikátory kompromitace (IoC) a útoku (IoA).

Komentář Cybule: Uvedení AI modelu pro práci s UI přichází v době, kdy kyberbezpečnostní pověst Microsoftu značně utrpěla. Cyber Safety Review Board (CSRB) nedávno vydal kritické hodnocení bezpečnostních praktik Microsoftu v souvislosti s kompromitací služby Microsoft Exchange čínskou skupinou Strom-0558. Přes nedostatky stávajících LLM a dalších AI nástrojů je zřejmé, že jejich schopnosti se velmi rychle rozvíjí. Jejich nasazení na databáze ověřených informací (např. již zpracované analýzy) a dat z detekčních nástrojů může významně pomoci kybernetickým obráncům. Aktéři kybernetických hrozeb rozhodně nečekají a AI nástroje již zařadili do svého arzenálu.

Projekt na GitHubu mapuje známé případy použití umělé inteligence ze strany aktérů kybernetických hrozeb

(10.3.2024, GitHub)

Bezpečnostní analytička Rachel James spustila na serveru GitHub projekt, jehož cílem je systematicky sledovat případy využívání umělé inteligence kybernetickými útočníky se zaměřením na činnosti, při nichž umělá inteligence zvyšuje jejich schopnosti. Mapování nezahrnuje vlivové a dezinformační kampaně, naopak zahrnuje případy podvodu, kde AI zvýšila schopnosti útočníka. Projekt se zaměřuje pouze na potvrzené případy o skutečném využití AI kybernetickými útočníky. James poznamenává, že ne vždy je použití AI útočníkem zřejmé. Přestože se na kyberkriminálních fórech diskutuje o generativních AI nástrojích, důkazy o úspěšných útocích zůstávají omezené. Obecně platí, že aktéři kybernetických hrozeb začínají využívat AI pro své potřeby. Nicméně zprávy společností Trend Micro a Verizon naznačují prozatím pomalejší tempo přijímání technologií AI u kriminálních skupin. Vzhledem ke skutečnosti, že populární AI nástroje a LLM mají robustní ochrany proti zneužití, kybernetičtí útočníci zkoumají metody jako “jailbreaking” k obejití těchto ochran. Pomalejší adopce AI mezi kyberkriminálními aktéry je vidět i u využívání LLM pro phishing. Pravděpodobným důvodem je, že phishing je pro potřeby kriminálních skupin dostatečně efektivní i bez využití modelů AI.

Verze LLM v kyberkriminálním prostředí (Trend Micro)

Co potřebujete vědět:
  • Prvotní omezené pokusy vytvořit vlastní útočné LLM vedly k vytvoření WormGPT v loňském roce. Od té doby kladou kriminální aktéři větší důraz na přechod k využívání existujících LLM prostřednictvím jailbreakingu. Jednou z vyjímek přijímání AI nástrojů u kriminálních aktérů je v oblasti zneužívání deepfakes k překonávání ověřování legitimního uživatele.
  • Projekt mapuje všechny známé případy využití AI kybernetickými aktéry. Mezi APT skupiny, které využívají technologie AI patří APT28 (Rusko), Lazarus (KLDR), Imperial Kitten (Írán) a Aquatic Panda (Čína).
  • Využití LLM ruskou skupinou APT28 zahrnovalo výzkum různých satelitních a radarových technologií, které by se mohly týkat konvenčních vojenských operací na Ukrajině, stejně jako obecný výzkum zaměřený na podporu jejich kybernetických operací.
  • Aquatic Panda patří mezi menšinu aktérů, kteří se pokouší o využití LLM pro podporu vývoje svých technických prostředků. Jde například o použití LLM k podpoře vývoje nástrojů, skriptování, porozumění různým komoditním bezpečnostním nástrojům a generování obsahu, který by mohl být použit k sociálnímu inženýrství (spearphishing).

Komentář Cybule: Pomalejší adopce AI nástrojů (zejména LLM) je specifická pro kyberkriminální prostředí. Útočníci spojení se státními zájmy mají větší zájem na vylepšování svých taktik s pomocí AI nástrojů. Přesvědčivost textu u spearphishingu je významným faktorem úspěchu. Využívání AI technologií je velmi dynamický proces a je téměř jisté, že za rok bude využití těchto technologií rozšířenější mezi všemi kategoriemi útočníků.

Přejít nahoru