Китайские взломщики прислали менеджеру Mandiant фиктивные счета

Хакеры добрались до лимузинов руководителя Mandiant

Исполнительный директор компании Mandiant Кевин Мандиа (Kevin Mandia), столкнулся с неожиданной угрозой. Он регулярно ездит на лимузине и соответственно получает на почту счета в формате PDF от компании, предоставляющей транспортные услуги. Как выяснилось, некоторые из этих счетов отсылали китайские хакеры.

Руководитель обнаружил обман случайно, когда получил счет за те дни, когда он не пользовался услугами перевозчика. Потом он переслал сообщения в собственный компьютерный отдел безопасности, который подтвердил наличие в файлах вредоносного кода.

Рассылка поддельных сообщений со взломанного email-аккаунта той или иной компании – весьма распространенная практика среди взломщиков. Обычно для этого хакеры проводят поиск в Google или социальных сетях, вылавливают там имена определенных людей, взламывают их ящики и уже от их имени рассылают сообщения со встроенным вредоносным кодом.

Цифровые сети Mandiant регулярно атакуют китайские хакеры. В этом нет ничего удивительного, учитывая, что в феврале фирма опубликовала огромный отчет, который в подробностях рассказывал о том, как китайцы угрожают западным корпорациям. Больше всего в новом нападении удивляет то, что взломщики обладают детальными данными о деятельности жертвы. Откуда китайцы вообще узнали, что руководитель компании любит ездить на лимузинах? Ответа на этот вопрос пока нет даже у Кевина Мандиа.

Однако он подозревает, что китайские разведчики попросту появились на крупных мероприятиях, где выступал Мандиа, и проследили за тем, как менеджер добирается до места проведения. Возможно, это просто паранойя, но американские журналисты уверяют, что данный инцидент красноречиво иллюстрирует опасности, с которыми сталкивается американский бизнес.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ может склонировать JS-зловреда 10 тыс. раз и добиться FUD в 88% случаев

Проведенное в Palo Alto Networks исследование показало, что ИИ-модель можно заставить многократно обфусцировать вредоносный код JavaScript и в итоге получить семпл, не детектируемый антивирусами (FUD, fully undetectable).

Речь идет об онлайн-помощниках, авторы которых вводят ограничения во избежание злоупотреблений ИИ-технологиями — в отличие от создателей «злых» аналогов (WormGPT, FraudGPT и т. п.), заточенных под нужды киберкриминала.

Разработанный в Palo Alto алгоритм использует большую языковую модель (БЯМ, LLM) для пошаговой трансформации кода с сохранением его функциональности. При его тестировании на реальных образцах JavaScript-зловредов кастомный классификатор на основе модели глубокого обучения выдал вердикт «безвредный» в 88% случаев.

Опытным путем было установлено, что уровень детектирования снижается по мере увеличения количества итераций (в ходе экспериментов LLM создавала по 10 тыс. вариантов вредоноса). Примечательно, что привносимые изменения выглядели более естественно в сравнении с результатами готовых инструментов вроде obfuscator.io.

Для проведения исследования был также создан набор подсказок для выполнения различных преобразований, таких как переименование переменной, разделение строк, добавление мусора, удаление ненужных пробелов, альтернативная реализация функции.

Финальные варианты обфусцированных JavaScript были ради интереса загружены на VirusTotal. Их не смог распознать ни один антивирус; повторение проверок через четыре дня дало тот же эффект.

 

Результаты исследования помогли экспертам усовершенствовать свой инструмент детектирования JavaScript. Полученные с помощью LLM образцы были добавлены в тренировочный набор данных для модели машинного обучения; их использование позволило повысить результативность классификатора на 10%.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru