ClickCease Attaque par hameçonnage TA547 : Des entreprises allemandes victimes d'un voleur d'informations

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Attaque par hameçonnage TA547 : Des entreprises allemandes victimes d'un voleur d'informations

Wajahat Raja

Le 22 avril 2024 - L'équipe d'experts de TuxCare

Les chercheurs de Proofpoint ont découvert que l'attaque de phishing attaque de phishing TA547 d'hameçonnage ont ciblé différentes entreprises allemandes. Identifié comme TA547, l'acteur de la menace a utilisé un voleur d'informations appelé Rhadamanthys pour mettre la main sur d'importantes données financières des entreprises. Ces informations sont ensuite utilisées par plusieurs acteurs cybercriminels.

La campagne d'hameçonnage campagne de phishing TA547 a utilisé un script PowerShell qui est soupçonné d'avoir été généré par de grands modèles de langage (LLM) tels que Gemini, ChatGPT et CoPilot. L'acteur de la cybermenace TA547 est un acteur financièrement motivé qui serait actif depuis novembre 2017.

 

Dans cet article, nous allons tout savoir sur l'attaque de phishing de l'organisation allemande. attaque de phishing d'une organisation allemande de l'organisation allemande et voir en quoi elle est si importante.

 

TA547 Historique des attaques de phishing avec l'IA


La menace de cybersécurité TA547
est connu pour ses campagnes d'hameçonnage. L'acteur de la menace s'est fait connaître en trafiquant Trickbot, mais il a également utilisé d'autres outils de cybercriminalité, tels que Lumma stealer, StealC, NetSupport RAT et Gozi.

La principale différence entre les tactiques d'hameçonnage précédentes de TA547 et la dernière tactique d'hameçonnage et la dernière en date, c'est qu'elle a commencé à faire appel à l l'IA pour les campagnes d'hameçonnage. Le code généré par le LLM suggère qu'un chatbot d'IA a été utilisé pour l'écrire.

 

Comment le cyberespionnage TA547 a-t-il fonctionné ?


De brefs courriels d'usurpation d'identité ont constitué la première étape de l'attaque de phishing
TA547. L'un des déguisements utilisés était Metro AG, une société allemande de vente au détail. Les courriels contenaient des fichiers ZIP protégés par un mot de passe et des fichiers LNK compressés. Ces fichiers LNK déclenchaient le script Powershell lorsqu'ils étaient exécutés, déposant l'infostealer Rhadamanthys dans les systèmes des organisations allemandes.

Un élément étrange a été identifié dans le script Powershell : il contenait un hashtag, c'est-à-dire des commentaires spécifiques. Les chercheurs en ont conclu que la nouvelle tactique d'hameçonnage TA547 incluaient également l'utilisation de l'IA.

 

Pourquoi la cyberattaque contre des organisations allemandes est-elle importante ?


La campagne de cyberespionnage TA547 montre que les acteurs des menaces de cybersécurité
acteurs de la menace en matière de cybersécurité évoluent avec le temps et utilisent de nouvelles techniques de phishing et d'autres campagnes pour atteindre leurs cibles.

L'utilisation des LNK compressés et du code généré par les LLM en sont quelques exemples. Les LLM tels que ChatGPT aident les acteurs de menaces de cybersécurité tels que TA547 à réutiliser les techniques utilisées par d'autres acteurs de menaces à leurs propres fins.

 

Les logiciels malveillants de l'IA sont-ils encore pires à l'avenir ?


L'attaque d'hameçonnage
attaque de phishing TA547 illustre l'expérimentation de l'utilisation de l'intelligence artificielle. Les acteurs de la cybersécurité utilisent aujourd'hui l'IA pour atteindre leurs objectifs plus rapidement et plus efficacement. Bien qu'il y ait des signes indiquant que certains acteurs de la menace utilisent l'IA à plus petite échelle dans le but d'améliorer leurs opérations, une utilisation à grande échelle n'a pas encore été découverte, à l'exception de quelques cas.

Cela s'explique par le fait que les humains sont encore meilleurs pour écrire des codes que les logiciels d'IA, et que les développeurs d'IA prennent également des mesures pour empêcher l'utilisation abusive de leurs produits par des acteurs de menaces de cybersécurité tels que TA547.


Conclusion


Les campagnes à motivation financière se sont multipliées ces dernières années. L'attaque de phishing
attaque de phishing TA547 souligne l'importance de mettre en œuvre des mesures de cybersécurité proactives afin d'éviter que des incidents tels que l'incident de cybersécurité en Allemagne ne se reproduisent. incident de cybersécurité en Allemagne puissent être évités.

Les sources de ce document comprennent des articles dans proofpoint et Dark Reading.

 

Résumé
Attaque par hameçonnage TA547 : Des entreprises allemandes victimes d'un voleur d'informations
Nom de l'article
Attaque par hameçonnage TA547 : Des entreprises allemandes victimes d'un voleur d'informations
Description
Des organisations allemandes ont été ciblées par un acteur de la menace financière avec un voleur d'informations. Pour tout savoir sur l'attaque de phishing TA547, cliquez ici !
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information