Una nuova campagna di malspam, firmata TA547, è emersa dalle ombre del darkweb, spargendo con sé il nefasto infostealer Rhadamantys.
A riportare la notizia è stata la comunità cyber, che ha monitorato l’attività dell’ormai noto attore delle minacce conosciuto come TA547. L’obiettivo sembra essere stato la Germania, con un’ondata di malspam mirato a diffondere l’insidioso infostealer, Rhadamantys.
Per chi non lo sapesse, Rhadamantys è un insidioso infostealer, prevalentemente distribuito nel darkweb e tramite la nota piattaforma di messaggistica Telegram, che viene regolarmente aggiornato per sfuggire ai controlli e penetrare indisturbato nei sistemi informatici. Per questa recente campagna, i cybercriminali di TA547 hanno fatto ricorso a uno script Powershell, costruito con la tecnologia dei large language models (LLM) nota come ChatGPT, Gemini, CoPilot.
Com’è strutturata la campagna di malspam di TA547?
L’approccio utilizzato da TA547 non si allontana molto dalla norma: un’email che annida un file .zip, protetto da password (in questo caso “MAR26”). Al suo interno vi è un file LNK che, una volta attivato, dà il via a uno script PowerShell per decodificare l’eseguibile di Rhadamantys, precedentemente codificato in Base64. Questo stratagemma permette all’attore delle minacce di eseguire il codice dannoso nella memoria del sistema, senza dover scrivere nulla sul disco.
Interessante notare come il secondo script PowerShell contenuto all’interno del file LNK, una volta deoffuscato, presenti una quantità significativa di commenti, tipici degli script generati con LLM:
Questo non vuol dire, però, che la difesa da questo genere di minacce non segua lo stesso percorso: le tattiche e le procedure adottate finora si rivelano efficaci anche in questo caso.
Chi è TA547?
Il gruppo TA547 non è un nuovo attore sul palcoscenico del crimine informatico. Conosciuto per essere mosso da motivazioni finanziarie, questo gruppo è un noto IAB (initial access broker), attivo in numerose regioni geografiche. Il suo operato si basa sull’utilizzo di strumenti come NetSupport RAT o payload come StealC e Lumma Stealer, che rivestono funzioni similari a Rhadamantys.
Songa il 2023, TA547 ha diffuso payload attraverso file Javascript compressi, passando a file LNK compressi all’inizio di marzo 2024. Oltre alla Germania, focus principale dell’ultima campagna malspam, il gruppo si è rivolto a organizzazioni situate in Spagna, Austria, Svizzera e Stati Uniti.
Perché questa campagna di malspam è importante?
La campagna che ha visto TA547 come protagonista rappresenta un esempio di alcuni cambiamenti nelle tecniche adottate dal gruppo, tra cui l’uso di file LNK compressi e l’infostealer Rhadamantys. È sempre fondamentale monitorare le campagne dei threat actors per essere sempre aggiornati sulle ultime tendenze e valutare tempestivamente eventuali cambiamenti nelle TTP (Tecniche, Tattiche e Procedure).
In questa specifica campagna emerge l’utilizzo di LLM nella creazione degli script, una pratica preoccupante per gli specialisti del settore. In particolare, lo script utilizzato per recuperare il malware payload non modifica in alcun modo il payload stesso, conducendo a dedurre che l’utilizzo di LLM da parte del threat actor sia ancora in una fase sperimentale.
Quali sono gli IoC (Indicatori di compromissione) di questa campagna? Secondo le analisi effettuate su VirusTotal, questi sono i risultati:
Nonostante le tecniche di difesa da questo tipo di minaccia rimangano le stesse, lo studio e il monitoraggio delle TTP dei threat actors sono fondamentali per rimanere al passo nella continua evoluzione del panorama delle minacce informatiche. La tecnologia Large Language Model (LLM), usata per la creazione degli script, rappresenta un campanello di allarme per gli specialisti di sicurezza informatica: siamo solo all’inizio di una nuova era di attacchi informatici.