잠재적으로 AI 생성 PowerShell 스크립트를 통해 배포되는 Infostealer 악성 코드

잠재적으로 AI 생성 PowerShell 스크립트를 통해 배포되는 Infostealer 악성 코드

2024년 3월, 보안 연구원들은 Scully Spider라고도 알려진 해커 그룹 TA547의 소행으로 여러 독일 조직을 표적으로 삼는 악성 캠페인을 발견했습니다. 2017년부터 활동하고 있으며 “초기 액세스 브로커”로 분류된 이 그룹은 스페인, 스위스, 오스트리아 및 미국의 조직도 표적으로 삼았습니다.

공격을 수행하기 위해 사이버 범죄자는 PowerShell 스크립트 생성이라는 정교한 기술을 사용했습니다. 이 캠페인에서 그들은 ZIP 형식의 송장을 첨부 파일로 포함하는 악성 이메일을 보내 독일 브랜드 Metro를 사칭하려고 시도했습니다. 보안 분석을 피하기 위해 이 ZIP 파일은 비밀번호 “MAR26″으로 보호되었습니다. 일단 열리면 PowerShell을 통해 원격 스크립트 실행이 트리거되었습니다.

이 공격의 최종 목표는 정보 강탈자인 Rhadamanthys로 알려진 악성 코드로 피해자의 컴퓨터를 감염시키는 것이었습니다. 이러한 유형의 맬웨어는 감염된 각 시스템에서 자격 증명, 쿠키 등 민감한 정보를 훔치는 것을 목표로 합니다.

AI로 생성된 PowerShell 스크립트?

사이버 범죄자가 사용하는 PowerShell 스크립트를 분석할 때 흥미로운 특징이 관찰되었습니다. 각 코드 줄 앞에는 코드 일부에 대한 도움을 요청할 때 인공 지능이 생성한 설명과 유사하게 잘 작성된 설명이 있었습니다.

따라서 보안 연구원들은 이 스크립트가 ChatGPT, Gemini 또는 Microsoft Copilot과 같은 생성 AI를 사용하여 생성되었다고 가정했습니다. 이 가설이 100% 확인된 것은 아니지만 사이버 범죄자가 AI를 사용하여 코드를 작성하거나 다시 작성했을 가능성이 높습니다.

이 특정 사례에서 AI는 악의적인 의도가 없었으며 이 코드가 악성 코드를 확산시키는 데 사용될 것이라고 예상할 수 없었다는 점에 유의하는 것이 중요합니다. 그러나 이러한 AI의 사용은 사이버 범죄자가 기술 발전을 활용하여 보다 정교한 방식으로 공격을 수행할 수 있는 능력에 대한 의문을 제기합니다.

이 결과는 또한 사이버 보안 전문가가 사이버 범죄자가 사용하는 새로운 기술과 기술에 대해 지속적으로 최신 정보를 얻고 숙지해야 할 필요성을 강조합니다. 컴퓨터 공격에 맞서 싸우는 것은 점점 더 복잡해지는 문제이므로 심층적인 전문 지식과 지속적인 모니터링이 필요합니다.

출처:
– 원본 기사: 증명점
– 블리핑 컴퓨터