Η Microsoft αποκάλυψε πως κρατικοί φορείς στον κυβερνοχώρο που σχετίζονται με τη Βόρεια Κορέα, έχουν αρχίσει να ενσωματώνουν τεχνητή νοημοσύνη (AI) στις επιχειρήσεις τους, βελτιώνοντας έτσι την αποδοτικότητα και την αποτελεσματικότητα των δραστηριοτήτων τους.

«Οι χάκινγκ συμμορίες της Ανατολικής Ασίας αναβαθμίζουν την αποδοτικότητα των δραστηριοτήτων τους, εκμεταλλευόμενες εργαλεία που βασίζονται σε προηγμένα μοντέλα μεγάλων AI γλωσσών (LLM)», αναφέρει ο τεχνολογικός γίγαντας στην πιο πρόσφατη έκθεσή του.

Η εταιρεία επικέντρωσε την προσοχή της σε μια ομάδα που αναγνωρίζεται ως Emerald Sleet (γνωστή επίσης ως Kimusky ή TA427), η οποία έχει εντοπιστεί να χρησιμοποιεί μεθόδους LLM για την ενίσχυση των προσπαθειών της στο phishing με στόχο ειδικούς της Κορεατικής Χερσονήσου.

Διαβάστε περισσότερα: Η χάκινγκ συμμορία “RedCurl” εκμεταλλεύεται το Windows PCA Tool για εταιρική κατασκοπεία

Ο αντίπαλος φαίνεται να έχει επικεντρωθεί στην εκμετάλλευση των τελευταίων εξελίξεων τεχνητής νοημοσύνης για την ανίχνευση ευπαθειών και την πραγματοποίηση αναγνωρίσεων σε οργανισμούς και ειδικούς που ασχολούνται με τη Βόρεια Κορέα. Επιπλέον, συγχωνεύει ομάδες χάκερ από την Κίνα, οι οποίες εξερευνούν το πεδίο του περιεχομένου που δημιουργείται μέσω AI.

Για την αντιμετώπιση τεχνικών προκλήσεων, την εκτέλεση βασικών εργασιών και τη δημιουργία προσχεδίων για μηνύματα spear-phishing, η Redmond αποκάλυψε τη χρήση προηγμένων LLM, συνεργαζόμενη στενά με την OpenAI για το κλείσιμο λογαριασμών και την απομάκρυνση στοιχείων που συνδέονται με απειλητικούς παράγοντες.

Σε μια πρόσφατη έκθεση της Proofpoint, μιας εταιρείας ασφάλειας επιχειρήσεων, αποκαλύφθηκε ότι η ομάδα εμπλέκεται σε “καλοήθεις” εκστρατείες με σκοπό την έναρξη διαλόγου. Αυτό γίνεται με στόχο την ανάπτυξη επαφών με άτομα για την ανταλλαγή πληροφοριών σε βάθος χρόνου, σχετικά με θέματα κρίσιμης σημασίας για το καθεστώς της Βόρειας Κορέας.

Η τακτική του Kimsuky στοχεύει στην εκμετάλλευση των ατόμων από δεξαμενές σκέψης (think tank) και μη κυβερνητικές οργανώσεις, ώστε να νομιμοποιούνται τα email του και να ενισχύει την πιθανότητα επιτυχημένης επίθεσης.

Τους τελευταίους μήνες, η εκμετάλλευση των ελαστικών πολιτικών για τον έλεγχο ταυτότητας, την αναφορά και τη συμμόρφωση μηνυμάτων βάσει τομέα (DMARC) από το στοιχείο του έθνους-κράτους εντάθηκε. Αυτή η πρακτική είχε ως στόχο να παραπλανήσει ανθρώπους και να ενσωματώσει web beacons (όπως είναι τα pixels παρακολούθησης), με σκοπό τη δημιουργία εξατομικευμένων προφίλ στόχων, αποδεικνύοντας έτσι μια «ευελιξία στην προσαρμογή της τακτικής του».

Σύμφωνα με την Proofpoint, τα web beacon φαίνεται να χρησιμοποιούνται κυρίως για την αρχική ταυτοποίηση και επιβεβαίωση των διευθύνσεων email που είναι ενεργές. Αυτό επιτρέπει τη συλλογή ζωτικών πληροφοριών σχετικά με τα δικτυακά περιβάλλοντα των παραληπτών, όπως είναι οι εξωτερικές διευθύνσεις IP, οι πληροφορίες του User-Agent του υπολογιστή που φιλοξενείται και η ακριβής ώρα που ο χρήστης άνοιξε το συγκεκριμένο email.

Ομάδες χάκερ από τη Βόρεια Κορέα εμπλέκονται πιο έντονα σε κλοπές κρυπτονομισμάτων και επιθέσεις σε αλυσίδες εφοδιασμού. Ένας από τους κυριότερους δράστες, γνωστός ως Jade Sleet, συνδέθηκε με την κλοπή τουλάχιστον 35 εκατομμυρίων δολαρίων από μια εσθονική εταιρεία κρυπτογράφησης τον Ιούνιο του 2023. Ένα μήνα αργότερα, πάνω από 125 εκατομμύρια δολάρια αποσπάστηκαν από μια πλατφόρμα κρυπτονομισμάτων με έδρα τη Σιγκαπούρη, επιβεβαιώνοντας την αυξανόμενη απειλή

που αντιπροσωπεύουν αυτές οι επιθέσεις.

Το Jade Sleet, που είναι γνωστό υπό τις ονομασίες TraderTraitor και UNC4899, έχει εντοπιστεί να εξαπολύει επιθέσεις κατά διαδικτυακών καζίνο κρυπτονομισμάτων τον Αύγουστο του 2023. Πέρα από αυτό, χρησιμοποιεί πλαστά αποθετήρια στο GitHub και επικίνδυνα πακέτα npm για να στοχεύσει εργαζόμενους σε οργανισμούς κρυπτονομισμάτων και τεχνολογίας.

Σε άλλη περίπτωση, τον Αύγουστο του 2023, μια γερμανική εταιρεία πληροφορικής υπέστη κυβερνοεπίθεση από την Diamond Sleet, επίσης γνωστή ως Lazarus Group. Οι χάκερς χρησιμοποίησαν μια εφαρμογή από μια ταϊβανέζικη εταιρεία πληροφορικής για να διενεργήσουν μια επίθεση στην αλυσίδα εφοδιασμού τον Νοέμβριο του 2023.

“Αυτή η δράση προορίζεται να αποφέρει έσοδα, κυρίως για το πρόγραμμα όπλων της, πέρα από την απόκτηση πληροφοριών σχετικά με τις Ηνωμένες Πολιτείες, τη Νότια Κορέα και την Ιαπωνία”, τόνισε ο Clint Watts, Επικεφαλής Διευθυντής του Κέντρου Ανάλυσης Απειλών της Microsoft (MTAC).

Ο Όμιλος Lazarus διακρίνεται για την εφαρμογή περίτεχνων τεχνικών, όπως η εκμετάλλευση της ευπάθειας Phantom DLL στα Windows και η παρέμβαση στο σύστημα διαφάνειας, συγκατάθεσης και ελέγχου (TCC) στα Windows και macOS αντίστοιχα, για την κατάργηση των μέτρων ασφάλειας και τη διανομή κακόβουλου λογισμικού. Αυτές οι δράσεις συνεισφέρουν στην αυξημένη πολυπλοκότητα και στη δυσεύρετη φύση των απειλών, σύμφωνα με την Interpres Security.

Δείτε επίσης: Ρουμάνοι νομοθέτες στοχοποιήθηκαν από Κινέζους χάκερς

Τα στοιχεία αναδεικνύονται μέσα από το πλαίσιο μιας πρόσφατης καμπάνιας, η οποία οργανώθηκε από τη συμμορία Konni (επίσης γνωστή ως Vedalia), η οποία εκμεταλλεύεται τα Windows shortcut αρχεία (LNK) για τη διανομή κακόβουλων payloads.

“Η Symantec ανακοίνωσε ότι οι χάκερς χρησιμοποίησαν διπλές επεκτάσεις αρχείων για να αποκρύψουν την πραγματική επέκταση .lnk, ενώ τα αρχεία LNK που εξετάστηκαν περιείχαν επίσης περιττά κενά διαστήματα για να καλύψουν τις κακόβουλες εντολές. Στο πλαίσιο της επίθεσης, το κακόβουλο σενάριο εντολών χρησιμοποίησε το PowerShell για να παρακάμψει την ανίχνευση, εντοπίζοντας τα ενσωματωμένα αρχεία και το φορτίο μόλυνσης”.

Πηγή: thehackernews.com