Οι hackers TA547 στοχεύουν τη Γερμανία με το Rhadamanthys malware

Οι hackers TA547 φαίνεται να στοχεύουν γερμανικές εταιρείες με το info-stealer malware Rhadamanthys.

Σύμφωνα με μια αναφορά της Proofpoint, είναι η πρώτη φορά που αυτός ο παράγοντας απειλής συνδέεται με τέτοια δραστηριότητα. Οι ερευνητές παρατήρησαν τη χρήση ενός PowerShell script που πιθανότατα δημιουργείται από large language models (LLM) όπως το ChatGPT, το Gemini ή το CoPilot.

Υποδυόμενοι τη γνωστή γερμανική εταιρεία λιανικής Metro, οι hackers TA547 στέλνουν phishing email που αφορούν υποτιθέμενα τιμολόγια. Αυτά τα μηνύματα, που στάλθηκαν σε πολλούς οργανισμούς στη Γερμανία, περιείχαν ένα αρχείο ZIP προστατευμένο με κωδικό πρόσβασης και ένα αρχείο LNK.

Δείτε επίσης: Byakugan info-stealer malware: Πώς λειτουργεί;

Κατά την εκτέλεση, το αρχείο LNK ενεργοποίησε το PowerShell ώστε να ξεκινήσει ένα απομακρυσμένο script. Τελικά, φορτώνεται και εκτελείται το Rhadamanthys malware απευθείας στη μνήμη του συστήματος.

Σύμφωνα με τους ερευνητές, το PowerShell script παρουσίαζε κάποια ασυνήθιστα χαρακτηριστικά, υποδεικνύοντας πιθανή εμπλοκή LLM.

Αυτή η καμπάνια διανομής του Rhadamanthys malware σε εταιρείες στη Γερμανία δείχνει μια αλλαγή στις τακτικές των hackers TA547, συμπεριλαμβανομένης της υιοθέτησης συμπιεσμένων LNK και της εισαγωγής του συγκεκριμένου info-stealer. Υπογραμμίζει επίσης τον τρόπο με τον οποίο οι φορείς απειλών αξιοποιούν περιεχόμενο που δημιουργείται από LLM.

Δείτε επίσης: Κακόβουλες διαφημίσεις διανέμουν info-stealer malware σε MacOS

Προστασία από info-stealer malware

Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό

προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.

Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές (π.χ. hackers TA547).

Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.

Δείτε επίσης: Snake info-stealer malware: Διανέμεται μέσω μηνυμάτων Facebook

Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα.

Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους hackers TA547 και άλλους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.

Πηγή: www.infosecurity-magazine.com