德国企业遭遇TA547黑客攻击

关键要点

• 德国多家组织受到疑似初始访问代理TA547（又名Scully Spider）的攻击。
• 使用基于生成式人工智能的PowerShell传播Rhadamanthys信息窃取恶意软件。
• 攻击通过伪装为德国批发商Metro Cash & Carry的钓鱼邮件开始，包含恶意LNK文件。
• PowerShell代码中出现非人类撰写的元素，以及异常完美的语法。

近期，德国多个组织遭到了疑似初始访问代理TA547（又名ScullySpider）的攻击。这些攻击利用基于生成式人工智能的PowerShell脚本来传播，按照的报道。

根据Proofpoint的报告，攻击从伪装成德国批发商Metro Cash & Carry的钓鱼邮件开始，邮件中包含一个受密码保护的ZIP压缩文件，内含一个恶意的LNK文件，该文件触发PowerShell执行远程脚本。对PowerShell代码的进一步分析揭示了一些非人类撰写代码中不常见的元素，例如在特定组件注释前出现的井号（hashsign）。

此外，Proofpoint的威胁研究总监DanielBlackford指出，攻击中使用的PowerShell代码存在异常“完美的语法”。BleepingComputer对ChatGPT-4进行的额外测试也产生了类似的输出代码，这表明威胁行为者可能利用生成式人工智能开发了这些代码，或者从使用人工智能的源代码中复制了它们。

注意 ：生成式人工智能在网络攻击中的应用引发了安全专家的关注，提示企业需加强防范措施，以应对潜在威胁。