márc 19, 2024 | Blog
A mesterséges intelligencia (AI) felhasználása a kiberbiztonság terén egyre inkább előtérbe kerül, az önfejlesztő kártékony szoftverektől a hihetetlenül valóságos deepfake technológiákig. A Recorded Future által közzétett legújabb kutatás szerint a legfejlettebb nyelvi modellekkel (LLM-ekkel) működő eszközök képesek a malware YARA szabályok elleni védelmének kijátszására.
„A generatív AI segítségével lehetőség nyílik a kártevők forráskódjának olyan módosítására, amely megnehezíti a YARA szabályok alapú észlelést, így csökken az azonosítás valószínűsége,” – fogalmaz a jelentés, amely a The Hacker News által is bemutatásra került.
Ezek a megállapítások egy kiberbiztonsági elemzés során születtek, amelynek célja az AI technológiák kártékony célú felhasználásának felderítése volt. Ezen technológiák már most is használatosak kártékony kódok létrehozásában, csaló e-mailek generálásában, és potenciális támadási célpontok kikémlelésében.
A biztonsági kutatók bemutatták, hogy hogyan képes egy LLM egy ismert kártevőt, például az APT28 hacker csoport által használt STEELHOOK malware-t és annak YARA szabályait úgy módosítani, hogy a detekció elkerülése mellett az eredeti funkcionalitás megőrzése mellett a forráskód szintaktikailag is hibátlan legyen.
Ezeknek a módosításoknak köszönhetően a LLM által átdolgozott malware képes volt elkerülni az egyszerű string-alapú YARA szabályokon alapuló észleléseket, amely korlátokkal bír, különösen az adatfeldolgozás méretét tekintve, ami megnehezíti a nagyobb méretű kódbázisok kezelését.
Az AI nem csak a kártékony programok átalakítására használható elkerülve ezzel a detekciót, hanem képes valósághű deepfake tartalmak létrehozására is, amelyek befolyásolhatják a közvéleményt vagy hamisított vezetői kommunikációt állíthatnak elő. Ezen felül a generatív AI lehetőséget biztosít a támadóknak arra, hogy gyorsabban végezzenek el kritikus infrastruktúrák feltérképezését, olyan információkat gyűjtve, amelyek stratégiai előnyt jelenthetnek a következő lépések során.
„A többmódusú modellek segítségével, beleértve a nyilvános képek és videók elemzését is, további információk, mint például geolokációs adatok, berendezések gyártói és modellei, valamint szoftververziók ismerhetők fel,” – említi meg a jelentés.
A Microsoft és az OpenAI nemrég arra figyelmeztetett, hogy az APT28 hacker csoport LLM-eket használt a műholdas kommunikációs protokollok és radar képalkotási technológiák, valamint specifikus technikai paraméterek megértésére, ezzel mélyreható ismereteket szerezve a műholdképességekről.
Ajánlott, hogy a szervezetek alaposan átvizsgálják és szükség esetén anonimizálják azokat a nyilvánosan elérhető képeket és videókat, amelyek érzékeny berendezéseket ábrázolnak, csökkentve ezzel a kiberfenyegetések kockázatát.
A legfrissebb kutatások szerint lehetséges az LLM-ek „megkerülése” és veszélyes tartalmak generálása olyan módon, hogy a bemeneti parancsokat ASCII art formájában adják meg (például „hogyan készítsünk bombát”, ahol a BOMB szót „*” karakterek és szóközök alkotják), kihasználva az LLM-ek ezen művészeti formák felismerésében mutatott gyengeségeit, így áthidalva a biztonsági intézkedéseket.
Forrás: thehackernews.com
nov 1, 2023 | Blog
Digitális csalások elleni harcban gyakran kiemelik a kétlépcsős azonosítás és bonyolult jelszavak fontosságát. Azonban ezek az intézkedések sem nyújtanak teljes körű védelmet az agyafúrt hackerekkel szemben, akik rafinált módszereket alkalmaznak. Egy apró figyelmetlenség is elegendő lehet a bajhoz, amit egy magyar marketingügynökség dolgozója is megtapasztalt. A kiberbiztonsággal foglalkozó G Data vállalattal szoros kapcsolatot ápoló személy esete komoly figyelmeztetést jelent. A probléma felmerülésekor az illető azonnal értesítette a G Data-t, aki részletesen elemezte és publikálta az eseményeket, rámutatva a Facebook biztonsági réseire is.
A csapda
A közösségi média, különösen a Facebook, fontos szerepet játszik a reklámszakmában. Marketingügynökségek gyakran használják ezeket a platformokat, vállalati bankkártyáikat összekapcsolva a hirdetésekkel. Így nem meglepő, hogy adathalászok gyakran célozzák meg ezeket a cégeket, ügyfeleknek álcázva magukat.
Egy nyári esetben a csalók egy magyar ügynökséget vettek célba, látszólag több létező ruhamárka nevében felkeresve őket. Egy kommunikációs kampányhoz kerestek partnert, információs anyagokat küldve részben emailben, részben az ügynökség online felületén keresztül. Gyanút keltő jel volt, hogy a céges domain nem szerepelt a levelekben. Például az „O My Bag” táskagyártó nevében küldött email nem a cég hivatalos email címéről, hanem egy Gmail-es fiókból érkezett, az anyagok pedig OneDrive-ra lettek feltöltve. A csalók hitelesnek tűnő levelet és jelszóval védett .zip fájlt küldtek, amely 11 ártalmatlan médiafájlt és egy kártékony .scr fájlt tartalmazott. Az ügynökség dolgozója megnyitotta a fájlt, aktiválva ezzel a malware-t.
A betörés
A kártevő első lépése a Windows rendszerben egy indítófájl létrehozása volt, hogy minden indításkor aktív legyen. Ez lehetővé tette a böngészőben tárolt session tokenek és a Facebook-fiókhoz való hozzáférést. Az adathalászok hamarosan hozzájutottak a munkatárs Facebook-fiókjának és hirdetéskezelési felületének adataihoz, így saját hirdetéseiket indítva el a magyar ügynökség fiókjából.
A megoldás
A G Data szakértői szerint a legfontosabb védekezés a gyanakvás és az alapos figyelem. A kétlépcsős azonosítás segíthet, de ha a gép már fertőzött, nem nyújt teljes védelmet. Javasolt a gyanús email-ek és fájlok azonnali törlése, valamint egy megbízható víruskereső használata.
A következmények
A magyar ügynökség esete nem egyedülálló, az internetes csalások világszerte növekvő tendenciát mutatnak. A legjobb védekezés a folyamatos tájékozódás és a kiberbiztonsági megoldások használata. Fontos, hogy minden internetező tudatában legyen a digitális világ veszélyeinek és mindig éber maradjon az új fenyegetésekkel szemben.
Forrás: www.telex.hu
okt 27, 2023 | Blog
A WinRAR szoftver jelenleg nem rendelkezik automatikus frissítési lehetőséggel, ami előnyt jelenthet az államilag támogatott hackerek számára, mivel ezáltal könnyen kihasználhatják a programban fellelhető ismert hibákat. Sok felhasználó mulasztja el telepíteni az elérhető javításokat, ami a szoftver egy adott gyengeségének további terjedéséhez vezet – állapította meg a Google.
A cég most arra figyelmeztet, hogy „több államilag támogatott hackercsoport” használja ezt a CVE-2023-3883 kóddal jelölt hibát kártékony szoftverek terjesztésére.
„A WinRAR hibájának széleskörű kiaknázása felhívja a figyelmet arra, hogy az ismert sebezhetőségek ellenére is gyakoriak lehetnek a támadások, még ha a javítás elérhető is” – említi a Google blogposztjában.
Bár a WinRAR már javította ezt a hibát a 6.23-as verziójában augusztus 2-án, a hackerek április óta kiaknázzák azt. Mivel nincs beépített frissítési lehetőség, a felhasználóknak saját kezűleg kell letölteniük és telepíteniük a frissítéseket a WinRAR honlapjáról.
„A javítás ugyan elérhető, de számos felhasználó még mindig sebezhető” – hangsúlyozza a Google.
A cég továbbá rámutatott, hogy számos államilag támogatott hackercsoport, beleértve az orosz „Sandworm” csoportot, kihasználja ezt a hibát. A Google egy olyan phishing e-mailt is felfedezett, amely úgy tűnik, egy ukrán drónháborús oktatási intézménytől származik, célja pedig kifejezetten az ukrán felhasználók megcélzása.
Az e-mail egy linket tartalmaz, ami a fex[.]net nevű fájlmegosztóra mutat, benne egy álcázott PDF dokumentummal és egy kártékony ZIP fájllal, amely kihasználja a CVE-2023-3883 hibát – teszi hozzá a Google. Egy dokumentum megnyitása ebben a ZIP fájlban egy „infostealer” nevű kártékony szoftvert aktivál, amely képes ellopni a bejelentkezési adatokat.
Egy másik esetben a „Fancy Bear” néven ismert orosz hackercsoport egy phishing weboldalt hozott létre, hogy ukrán felhasználókat ösztönözzön egy ZIP fájl letöltésére, ami szintén kiaknázza a WinRAR hibáját.
„Az álcázott dokumentum egy meghívásnak tűnik a Razumkov Központ egyik eseményére, ami egy közpolitikai gondolkodó műhely Ukrajnában” – említi a Google.
Kínai hackerek is kihasználták ezt a hibát. Az APT40 névre hallgató csoport egy phishing támadást indított Pápua Új-Guinea felhasználói ellen.
„Az e-mailek Dropbox linket tartalmaznak egy ZIP archívumhoz, mely a CVE-2023-3883 kiaknázását, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmaz” – tájékoztat a Google.
Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat.
„Ezek a támadások, amelyek a WinRAR hibáját célozzák meg, hangsúlyozzák a frissítések fontosságát, és arra figyelmeztetnek, hogy a felhasználóknak még sok teendője van a szoftvereik naprakészen és biztonságosan tartásához” – jelenti ki.
Felvettük a kapcsolatot a WinRAR-rel, hogy megtudjuk, terveznek-e automatikus frissítési funkciót bevezetni, és frissítjük a cikket, amint választ kapunk. Addig is fontos megjegyezni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.
