Şeffaf Kabile olarak bilinen Pakistan bağlantılı tehdit aktörü, çeşitli implantlarla hedefleri vurmak için yapay zeka (AI) destekli kodlama araçlarını benimseyen en son bilgisayar korsanlığı grubu oldu.
Bitdefender'ın yeni bulgularına göre faaliyet, Nim, Zig ve Crystal gibi daha az bilinen programlama dilleri kullanılarak geliştirilen ve radarın altından uçmak için Slack, Discord, Supabase ve Google Sheets gibi güvenilir hizmetlere dayanan "yüksek hacimli, vasat bir implant kütlesi" üretmek üzere tasarlandı.
Güvenlik araştırmacıları Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu ve Martin Zugec, kampanyanın teknik bir analizinde şunları söyledi: "Teknik gelişmişlikte bir atılım yerine, aktörün hedef ortamları tek kullanımlık, çok dilli ikili dosyalar ile doldurmasına olanak tanıyan yapay zeka destekli kötü amaçlı yazılım sanayileşmesine doğru bir geçiş görüyoruz."
Tespiti karmaşıklaştırmanın bir yolu olarak titreşim kodlu kötü amaçlı yazılımlara, yani titreşim yazılımına geçiş, Rumen siber güvenlik sağlayıcısı tarafından Dağıtılmış Tespit Reddi (DDoD) olarak nitelendirildi. Bu yaklaşımda amaç, teknik karmaşıklık yoluyla tespit çabalarından kaçınmak değil, hedef ortamları her biri farklı bir dil ve iletişim protokolü kullanan tek kullanımlık ikili dosyalar ile doldurmaktır.
Tehdit aktörlerine bu açıdan yardımcı olan, siber suçlara yönelik engeli azaltan ve yabancı dillerde sıfırdan veya temel iş mantığını daha yaygın olanlardan taşıyarak işlevsel kod oluşturmalarına olanak tanıyarak uzmanlık açığını kapatan büyük dil modelleridir (LLM'ler).
APT36'nın yüksek değerli hedefleri belirlemek için LinkedIn'i kullandığı son saldırıların Hindistan hükümetini ve birçok yabancı ülkedeki büyükelçiliklerini hedef aldığı ortaya çıktı. Saldırılar aynı zamanda daha az da olsa Afgan hükümetini ve bazı özel işletmeleri de hedef aldı.
Enfeksiyon zincirleri muhtemelen ZIP arşivleri veya ISO görüntüleri içinde paketlenmiş Windows kısayollarını (LNK'ler) taşıyan kimlik avı e-postalarıyla başlıyor. Alternatif olarak, göze çarpan bir "Belgeyi İndir" düğmesini içeren PDF yemleri, kullanıcıları aynı ZIP arşivlerinin indirilmesini tetikleyen, saldırgan tarafından kontrol edilen bir web sitesine yönlendirmek için kullanılır.
Kullanılan yöntemden bağımsız olarak, LNK dosyası, PowerShell komut dosyalarını bellekte yürütmek için kullanılır; bu, daha sonra ana arka kapıyı indirip çalıştırır ve uzlaşma sonrası eylemleri kolaylaştırır. Bunlar arasında, dayanıklılığı sağlamak için hibrit bir yaklaşıma işaret eden, Cobalt Strike ve Havoc gibi bilinen rakip simülasyon araçlarının konuşlandırılması da yer alıyor.
Bu gelişme, kurumların tehdit görünürlüğü, yama yönetimi, güvenli geliştirme süreçleri ve olay müdahale hazırlığı açısından siber güvenlik gündemini daha yakından izlemesi gerektiğini gösteriyor.
Kaynak: The Hacker News
