Microsoft cảnh báo: Tin tặc Triều Tiên chuyển sang gián điệp mạng do AI thúc đẩy

 Microsoft đã tiết lộ rằng các tác nhân mạng được nhà nước bảo trợ liên kết với Triều Tiên đã bắt đầu sử dụng trí tuệ nhân tạo (AI) để làm cho hoạt động của mình hiệu quả và hiệu quả hơn. "Họ đang học cách sử dụng các công cụ được hỗ trợ bởi các mô hình ngôn ngữ lớn AI (LLM) để làm cho hoạt động của họ hiệu quả và hiệu quả hơn", gã khổng lồ công nghệ  cho biết  trong báo cáo mới nhất về các nhóm hack Đông Á. Công ty đặc biệt nhấn mạnh một nhóm có tên  Emerald Sleet  (hay còn gọi là Kimusky hoặc TA427), đã được quan sát thấy sử dụng LLM để tăng cường các nỗ lực lừa đảo nhằm vào các chuyên gia Bán đảo Triều Tiên. Nó tiếp tục sử dụng LLM để khắc phục sự cố kỹ thuật, thực hiện các tác vụ kịch bản cơ bản và soạn thảo nội dung cho các tin nhắn lừa đảo, Redmond cho biết thêm rằng họ đã làm việc với OpenAI để vô hiệu hóa các tài khoản và tài sản liên quan đến tác nhân đe dọa. Theo một báo cáo được công bố bởi công ty bảo mật doanh nghiệp Proofpoint tuần trước, nhóm này "tham gia vào các chiến dịch khởi động cuộc trò chuyện lành tính để thiết lập liên lạc với các mục tiêu trao đổi thông tin lâu dài về các chủ đề có tầm quan trọng chiến lược đối với chế độ Triều Tiên". Phương thức hoạt động của Kimsuky liên quan đến việc tận dụng các nhóm cố vấn và các nhân vật liên quan đến tổ chức phi chính phủ để hợp pháp hóa email của mình và tăng khả năng thành công của cuộc tấn công. Tuy nhiên, trong những tháng gần đây, tác nhân quốc gia đã bắt đầu lạm dụng các chính sách Xác thực, Báo cáo và Tuân thủ Tin nhắn Dựa trên Tên miền (DMARC) lỏng lẻo để giả mạo các nhân vật khác nhau và kết hợp đèn hiệu web (tức là pixel theo dõi) để lập hồ sơ mục tiêu, cho thấy "sự nhanh nhẹn trong việc điều chỉnh chiến thuật của mình". Trong một trường hợp khác, một công ty CNTT có trụ sở tại Đức đã bị  Diamond Sleet  (hay còn gọi là Lazarus Group) xâm nhập vào tháng 8/2023 và vũ khí hóa đơn đăng ký từ một công ty CNTT có trụ sở tại Đài Loan để tiến hành tấn công chuỗi cung ứng vào tháng 11/2023. Nhóm Lazarus cũng đáng chú ý vì sử dụng các phương pháp phức tạp như Windows  Phantom DLL Hijacking  và thao tác cơ sở dữ liệu Minh bạch, Đồng ý và Kiểm soát ( TCC ) trong Windows và macOS, tương ứng, để làm suy yếu các biện pháp bảo vệ an ninh và triển khai phần mềm độc hại, góp phần vào sự tinh vi và bản chất khó nắm bắt của nó, theo  Interpres Security . Những phát hiện này được đưa ra trong bối cảnh của một chiến dịch mới được dàn dựng bởi nhóm  Konni  (hay còn gọi là Vedalia) sử dụng các tệp phím tắt Windows (LNK) để phân phối tải trọng độc hại.