Новости Китайские хакеры воруют секреты ИИ у ведущих компаний отрасли

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Что киберпреступники планируют делать с полученной информацией?


ftpv39zb2nkogwoms0vfhs04fvplhbcg.jpg


Исследователи безопасности из компании Proofpoint обнаружили, что некая хакерская группировка, предположительно функционирующая в интересах Китая, использует новую версию вредоносного ПО SugarGh0st RАT для кражи информации у экспертов по искусственному интеллекту в американских частных компаниях, государственных учреждениях и академических кругах.

Вредоносная кампания, названная «UNK_SweetSpecter», была впервые замечена исследователями в начале этого месяца. Так, согласно отчёту, Для просмотра ссылки Войди или Зарегистрируйся злоумышленники применяют фишинговые письма с тематикой ИИ для распространения трояна удалённого доступа (RAT) под названием SugarGh0st, на узкий круг специалистов.

По данным Proofpoint, рассмотренная кампания была нацелена менее чем на 10 человек, все из которых имели прямую связь с ведущей американской организацией в области ИИ (название организации не разглашается). Исследователи предполагают, что целью атаки было получение закрытой информации о генеративном искусственном интеллекте.

Исследователи Cisco Talos впервые обнаружили SugarGh0st RAT Для просмотра ссылки Войди или Зарегистрируйся когда он использовался предположительно китайской хакерской группой для кибершпионажа и наблюдения за правительственными чиновниками в Узбекистане и Южной Корее. Анализ показал, что это модифицированная версия Gh0st RAT, впервые появившегося в 2008 году, когда китайская хакерская группа «C. Rufus Security Team» сделала его исходный код общедоступным.

SugarGh0st RAT отличается от оригинала рядом улучшенных возможностей, таких как обнаружение специфических ключей реестра ODBC для эксфильтрации данных и возможности бокового перемещения. Другим нововведением стала возможность загрузки и выполнения вредоносного кода из файлов с определёнными расширениями и именами функций. Также вредонос предоставляет удалённым операторам возможность выполнять пользовательские команды через С2-интерфейс.

В ходе кампании «UNK_SweetSpecter» злоумышленники отправляли своим целям письма с ИИ-тематикой и прикреплённым архивом. В тексте указывалось, что отправитель столкнулся с проблемами при использовании определённого ИИ-инструмента и просил о помощи в решении этих вопросов или пересылке их техническому персоналу.


9fuj2g7pvi2ydz8723y7se9ds33l7d8n.png


Фишинговое письмо с ZIP-архивом

При запуске архива внутри можно обнаружить вредоносный ярлык, аналогичный тому, что ранее был обнаружен Cisco Talos. Этот ярлык разворачивает JavaScript-дроппер, содержащий документ-приманку, инструмент ActiveX для боковой загрузки и зашифрованный бинарный файл. В результате запуска ярлыка на скомпрометированную систему устанавливается SugarGh0st, который связывается с C2-сервером злоумышленников.


x5c5apzlj6lv9ph7mcuw3y2mwq1nar2d.png


Индикаторы компрометации кампании, включающие ZIP-архив и его содержимое

Proofpoint предполагает, что данная кампания направлена на кражу секретов генеративного ИИ. Эта сфера сейчас весьма лакомая для злоумышленников, поэтому они всеми силами пытаются выцепить из крупных компаний крупицы ценной информации.

Так, в начале года Министерство юстиции США обвинило инженера Google в краже ИИ-секретов и попытке использовать их в двух китайских технологических компаниях, одну из которых он сам и основал.

Таким образом, рассмотренная вредоносная кампания подчёркивает растущую угрозу кибершпионажа в сфере передовых технологий, таких как искусственный интеллект. Компаниям и исследователям необходимо повышать осведомлённость о подобных угрозах и принимать усиленные меры безопасности для защиты своих разработок и конфиденциальной информации от кибератак.

Поскольку ИИ всё глубже проникает в самые разные отрасли и приобретает всё большее значение, защита интеллектуальной собственности в этой сфере становится критически важной задачей как для частных компаний, так и для целых государств.
 
Источник новости
www.securitylab.ru

Похожие темы