🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça está usando um kit de ferramentas de ataque de ransomware criado por IA que automatiza a descoberta do Active Directory e ajuda a evitar soluções de detecção e resposta de endpoint (EDR).
O desenvolvimento da ferramenta e da carga útil foi auxiliado pelos agentes Cursor e Claude Opus em vários estágios, incluindo codificação inicial, análise e revisão. Além disso, alguns agentes foram encarregados de verificar os postos de pesquisa de segurança em busca de várias técnicas de desvio.
Alguns dos malwares criados dessa forma foram testados em ambientes virtuais com ferramentas de EDR da Sophos, CrowdStrike e Microsoft.
Apesar da pesquisa e desenvolvimento de malware orquestrados usando tecnologia de IA, os pesquisadores observam que o fluxo de trabalho é inteiramente conduzido por humanos.
Desenvolvimento rápido de desvio de EDR
Pesquisadores da empresa de segurança cibernética Sophos detectaram atividade do kit de ferramentas em um sistema no ambiente do cliente que acionou alertas para cargas armazenadas em C:\Users\User\Documents\test.
Os arquivos maliciosos sugeriam que faziam parte de uma estrutura de ataque focada em evitar a detecção:
Perfis Cobalt Strike projetados para fazer com que o tráfego de beacon se assemelhe a solicitações legítimas da web
Um mecanismo de comando e controle externo (C2) baseado em API de bot do Telegram que roteava a comunicação através da infraestrutura do Telegram em vez de usar conexões diretas
Scripts de desenvolvimento de malware baseados em Python para injetar shellcode em executáveis legítimos do Windows, preservando a funcionalidade original
Um Cloudflare Worker atuando como um redirecionador front-end para ocultar o servidor backend C2 real
Os pesquisadores dizem que, embora a ferramenta possa parecer uma estrutura pós-exploração de “equipe vermelha”, ela é usada em atividades cibercriminosas relacionadas a ransomware.
“Nossa avaliação inicial incluiu a possibilidade de que um Red Team legítimo estivesse envolvido, mas nossa investigação revelou outros artefatos que indicavam atividades maliciosas e criminosas”, disse Sophos ao BleepingComputer.
A descoberta nos registros do operador Cobalt Strike de entradas apontando para uma nota de resgate e detalhes sobre várias organizações listadas em um site de vazamento de dados de ransomware esclareceu que a estrutura foi usada para operações de crimes cibernéticos.
Desenvolvimento de malware agente
Em um relatório publicado hoje, a Sophos afirma que vários scripts Python no host comprometido foram escritos em russo e gerados com a ajuda de ferramentas de IA.
Durante a investigação, os pesquisadores encontraram um repositório Git com componentes relacionados a “um painel de descoberta automatizado do Active Directory (AD) e um laboratório que usa uma abordagem iterativa para desenvolver e testar malware contra os agentes de detecção e resposta de endpoint (EDR) Sophos, CrowdStrike e Windows Defender”.
Eles dizem que a descoberta do AD é impulsionada pela coleta de observações de tarefas concluídas e pela seleção da próxima ação a partir de escolhas predefinidas. A próxima etapa é delegada aos agentes remotos, com reavaliação dos resultados.
A estrutura possui vários agentes de IA, cada um com uma função e papel distintos. Por exemplo, um agente Claude Opus 4.5 atua como coordenador do processo de P&D, enquanto outros cuidam de testes, reforço de OPSEC, documentação, testes de estresse de proxy, implantação de VM e outras tarefas relacionadas.
Para a fase de desenvolvimento, alguns agentes documentaram técnicas de desvio em pesquisas da Kaspersky, Palo Alto Networks, Bishop Fox e SpecterOps, bem como detalhes publicados em postagens nas redes sociais.
Os agentes extraíram as técnicas, mapearam-nas na base de conhecimento MITRE ATT&CK de comportamentos adversários, identificaram o que era necessário para a reprodução, prepararam um laboratório de testes, executaram a técnica e relataram o resultado.
O principal componente da estrutura maliciosa é uma ferramenta Python que gera cargas úteis, principalmente em Rust and Go, com base em uma técnica de evasão. Cerca de 80 módulos foram gerados e testados em mais de 70 técnicas.
"Este gerador modular de carregador de carga útil do Windows envolve uma carga útil bruta em camadas de criptografia, evasão e técnicas alternativas de execução, produzindo executáveis ou DLLs personalizados destinados a resistir a sandboxing, antivírus e detecção de EDR" - Sophos
Embora os agentes inicialmente sugerissem uma alta taxa de falhas, os módulos pareciam ignorar quase todas as soluções de EDR após várias iterações. No entanto, a Sophos notou discrepâncias entre o resultado do teste e os relatórios internos da estrutura em alguns casos, embora as razões não sejam claras.
O fluxo de trabalho de desenvolvimento de desvio de EDRFonte: Sophos
A Sophos não encontrou nenhuma evidência de que a IA estivesse incorporada em malware implantado ou operando de forma independente nos ambientes das vítimas. Em vez disso, a tecnologia foi usada para acelerar o processo iterativo de desenvolvimento, teste e refinamento de cargas úteis em produtos de segurança.
As ferramentas de IA estão a encurtar o período entre a publicação de investigação ofensiva em matéria de segurança e a sua implementação prática pelos intervenientes na ameaça.
A lacuna de validação: Pente automatizado
O desenvolvimento da ferramenta e da carga útil foi auxiliado pelos agentes Cursor e Claude Opus em vários estágios, incluindo codificação inicial, análise e revisão. Além disso, alguns agentes foram encarregados de verificar os postos de pesquisa de segurança em busca de várias técnicas de desvio.
Alguns dos malwares criados dessa forma foram testados em ambientes virtuais com ferramentas de EDR da Sophos, CrowdStrike e Microsoft.
Apesar da pesquisa e desenvolvimento de malware orquestrados usando tecnologia de IA, os pesquisadores observam que o fluxo de trabalho é inteiramente conduzido por humanos.
Desenvolvimento rápido de desvio de EDR
Pesquisadores da empresa de segurança cibernética Sophos detectaram atividade do kit de ferramentas em um sistema no ambiente do cliente que acionou alertas para cargas armazenadas em C:\Users\User\Documents\test.
Os arquivos maliciosos sugeriam que faziam parte de uma estrutura de ataque focada em evitar a detecção:
Perfis Cobalt Strike projetados para fazer com que o tráfego de beacon se assemelhe a solicitações legítimas da web
Um mecanismo de comando e controle externo (C2) baseado em API de bot do Telegram que roteava a comunicação através da infraestrutura do Telegram em vez de usar conexões diretas
Scripts de desenvolvimento de malware baseados em Python para injetar shellcode em executáveis legítimos do Windows, preservando a funcionalidade original
Um Cloudflare Worker atuando como um redirecionador front-end para ocultar o servidor backend C2 real
Os pesquisadores dizem que, embora a ferramenta possa parecer uma estrutura pós-exploração de “equipe vermelha”, ela é usada em atividades cibercriminosas relacionadas a ransomware.
“Nossa avaliação inicial incluiu a possibilidade de que um Red Team legítimo estivesse envolvido, mas nossa investigação revelou outros artefatos que indicavam atividades maliciosas e criminosas”, disse Sophos ao BleepingComputer.
A descoberta nos registros do operador Cobalt Strike de entradas apontando para uma nota de resgate e detalhes sobre várias organizações listadas em um site de vazamento de dados de ransomware esclareceu que a estrutura foi usada para operações de crimes cibernéticos.
Desenvolvimento de malware agente
Em um relatório publicado hoje, a Sophos afirma que vários scripts Python no host comprometido foram escritos em russo e gerados com a ajuda de ferramentas de IA.
Durante a investigação, os pesquisadores encontraram um repositório Git com componentes relacionados a “um painel de descoberta automatizado do Active Directory (AD) e um laboratório que usa uma abordagem iterativa para desenvolver e testar malware contra os agentes de detecção e resposta de endpoint (EDR) Sophos, CrowdStrike e Windows Defender”.
Eles dizem que a descoberta do AD é impulsionada pela coleta de observações de tarefas concluídas e pela seleção da próxima ação a partir de escolhas predefinidas. A próxima etapa é delegada aos agentes remotos, com reavaliação dos resultados.
A estrutura possui vários agentes de IA, cada um com uma função e papel distintos. Por exemplo, um agente Claude Opus 4.5 atua como coordenador do processo de P&D, enquanto outros cuidam de testes, reforço de OPSEC, documentação, testes de estresse de proxy, implantação de VM e outras tarefas relacionadas.
Para a fase de desenvolvimento, alguns agentes documentaram técnicas de desvio em pesquisas da Kaspersky, Palo Alto Networks, Bishop Fox e SpecterOps, bem como detalhes publicados em postagens nas redes sociais.
Os agentes extraíram as técnicas, mapearam-nas na base de conhecimento MITRE ATT&CK de comportamentos adversários, identificaram o que era necessário para a reprodução, prepararam um laboratório de testes, executaram a técnica e relataram o resultado.
O principal componente da estrutura maliciosa é uma ferramenta Python que gera cargas úteis, principalmente em Rust and Go, com base em uma técnica de evasão. Cerca de 80 módulos foram gerados e testados em mais de 70 técnicas.
"Este gerador modular de carregador de carga útil do Windows envolve uma carga útil bruta em camadas de criptografia, evasão e técnicas alternativas de execução, produzindo executáveis ou DLLs personalizados destinados a resistir a sandboxing, antivírus e detecção de EDR" - Sophos
Embora os agentes inicialmente sugerissem uma alta taxa de falhas, os módulos pareciam ignorar quase todas as soluções de EDR após várias iterações. No entanto, a Sophos notou discrepâncias entre o resultado do teste e os relatórios internos da estrutura em alguns casos, embora as razões não sejam claras.
O fluxo de trabalho de desenvolvimento de desvio de EDRFonte: Sophos
A Sophos não encontrou nenhuma evidência de que a IA estivesse incorporada em malware implantado ou operando de forma independente nos ambientes das vítimas. Em vez disso, a tecnologia foi usada para acelerar o processo iterativo de desenvolvimento, teste e refinamento de cargas úteis em produtos de segurança.
As ferramentas de IA estão a encurtar o período entre a publicação de investigação ofensiva em matéria de segurança e a sua implementação prática pelos intervenientes na ameaça.
A lacuna de validação: Pente automatizado
#samirnews #samir #news #boletimtec #kit #de #ferramentas #de #ransomware #criado #por #ia #automatiza #evasão #de #edr #e #descoberta #de #ad
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário