Firma e sigurisë Proofpoint ka zbuluar një fushatë spiunazhi kibernetik që synon ekspertë të inteligjencës artificiale (AI) në të gjithë sektorin privat, akademinë dhe qeverinë. Ky operacion i sofistikuar, duke përdorur një trojan me qasje në distancë (RAT) i njohur si SugarGh0st, është fokusuar kryesisht në specialistët me bazë në SHBA në AI gjeneruese.
Fushata dhe implikimet e saj
Gjetjet e Proofpoint përputhen me të. me një Reuters raport nga 8 maj 2024, i cili theksoi masat e shtuara të SHBA për të kufizuar aksesin kinez në teknologjitë gjeneruese të AI. Ky shtrirje kohore sugjeron që aktorët kinezë mund të përdorin spiunazh për të avancuar aftësitë e tyre të AI. Ndërsa Proofpoint nuk ia ka atribuar përfundimisht aktivitetin një entiteti specifik, ai ka identifikuar përkohësisht operativët pas këtyre sulmeve si UNK_SweetSpecter.
SugarGh0st është një variant i Gh0stRAT, një trojan i përdorur më parë nga grupe të ndryshme kineze. Cisco Talos dokumentoi për herë të parë SugarGh0st në nëntor 2023, pas vendosjes së tij kundër njësive qeveritare në Uzbekistan dhe Korenë e Jugut. Kodi i trojanit përmban artefakte të gjuhës kineze dhe metodologjitë e tij të infektimit kanë ngjashmëri me incidentet e mëparshme, duke mbështetur hipotezën e një aktori kërcënimi që flet gjuhën Mandarin.
Taktika, teknika dhe procedura
Sulmuesit kanë përdorur email phishing si hyrjen e tyre kryesore metodë, duke përdorur tema të lidhura me AI për të joshur viktimat. Këto emaile, të dërguara nga llogari falas, tërheqin objektivat që të hapin skedarë ZIP të bashkangjitur që përmbajnë skedarë.LNK. Këta skedarë ekzekutojnë komandat e guaskës në mënyrë indirekte, duke çuar në vendosjen e një pikatore JavaScript. Pikatori kryen funksione të shumëfishta: shfaqja e një dokumenti mashtrimi, duke përdorur një mjet ActiveX për ngarkim anësor dhe vendosjen e një binar të koduar. Biblioteka ActiveX është thelbësore për ekzekutimin e kodit shell, i cili fillon SugarGh0st RAT nëpërmjet një hyrjeje fillestare të etiketuar CTFM0N.exe, duke futur malware brenda sistemit.
Qëllimi dhe Objektivi
Gjurmimi nga Proofpoint i vendosjes së SugarGh0st zbulon një model sulmesh shumë të synuara. Viktimat përfshijnë një gjigant telekomunikacioni amerikan, një shtëpi mediatike ndërkombëtare, një organ qeveritar të Azisë Jugore dhe afërsisht dhjetë individë të lidhur me një organizatë udhëheqëse amerikane të AI. Specifikimi i këtyre sulmeve dhe fokusi i tyre në mjetet e AI tregojnë qëllimin e sulmuesve për të marrë informacione të ndjeshme, jo publike në lidhje me AI gjeneruese.
Raporti thekson kërcënimet në zhvillim me të cilat përballet komuniteti i kërkimit të AI dhe sugjeron një ndryshim i mundshëm në taktikat e spiunazhit kibernetik me implikime të gjera për konkurrencën globale të teknologjisë. Analiza gjithëpërfshirëse e Proofpoint përfshin indikatorë të kompromisit të tillë si hash-et e skedarëve, adresat IP dhe URL-të, së bashku me nënshkrimet e zbulimit, duke ofruar inteligjencë thelbësore për forcimin e mbrojtjes kundër këtij kërcënimi dhe kërcënimeve të ngjashme kibernetike.
Informacion Shtesë
strong>
Proofpoint gjurmon grupin përgjegjës për këtë aktivitet si UNK_SweetSpecter. Në fushatën e majit 2024, UNK_SweetSpecter përdori një llogari emaili falas për të dërguar joshje me temë AI, duke joshur objektivat për të hapur arkivat ZIP të bashkangjitur. Zinxhiri i infeksionit imitoi një metodë të raportuar më parë nga Cisco Talos, me skedarët LNK që përmbanin artefakte të ngjashme meta të dhënash dhe vula kohore të falsifikuara.
Daktori i JavaScript përfshinte një dokument mashtrimi, një mjet ActiveX për ngarkim anësor dhe një binar të koduar. të gjitha të koduara në bazën64. Ngarkesa shfaqi protokollet e rrahjeve të zemrës, komandimi dhe kontrolli (C2) dhe metodat e eksfiltrimit të të dhënave. Dallimet në zinxhirin e infeksionit të vëzhguara nga Proofpoint përfshinin një emër të modifikuar të çelësit të regjistrit për qëndrueshmëri, një numër të reduktuar komandash që ngarkesa e SugarGh0st mund të ekzekutonte dhe një server tjetër C2.
