Code in Nischensprachen hebelt Anomalie-Erkennung aus

Die Malware-Gruppe APT36 setzt bei der Entwicklung ihrer Malware jetzt auf Künstliche Intelligenz. Zu diesem Ergebnis kommt eine aktuelle Analyse der Bitdefender Labs. Ein KI-Modell unterstützt die Akteure, Malware in industriellem Ausmaß zu generieren. Verfügbare Malware lässt sich in gering verbreitete Programmiersprachen übersetzen sowie betriebssystemunabhängig und damit effektiv verbreiten. Beweise für den Einsatz von KI finden sich in Entwickler-Artefakten, eingebetteten Metadaten oder sogar durch Emojis im Code. Die Qualität des Vibeware-Codes ist nicht hoch, erschließt jedoch ein hohes Potenzial für opportunistische Attacken.

Bei APT36 – auch bekannt unter dem Namen Transparent Tribe – handelt es sich um vom pakistanischen Staat unterstützte Cyber-kriminelle Akteure. Im Visier der Angreifer standen und stehen indische Regierungseinrichtungen, diplomatische Vertretungen oder Personen mit Bezug zur nationalen Verteidigung des Landes.

Die kriminellen Entwickler arbeiten mit einer neuen, nicht sehr anspruchsvoll codierten Art von Malware, die darauf ausgelegt ist, die Umgebungen der Opfer mit massenhaft verfügbarer, mehrsprachig funktionierender Malware zu fluten. Fehler im Code, der syntaktisch korrekt, aber logisch oft nicht ausgereift ist, machen die Schadsoftware teilweise zwar wirkungslos, das Gros bleibt aber gefährlich. Sichtbare Beweise für eine nicht sorgfältige, aber KI-basiert Entwicklung sind Emojis im Code.

Schwer erkennbare Angriffe unter Ausnutzen legitimer LOTS-System-Tools (LOTS steht für “Living Off Trusted Services”) lassen sich durch zahlreiche Trainingsdaten und Dokumentationen in den Large Language Models (LLMs) als stabiler Code für Plattformen wie Discord, Slack und Google Sheets entwickeln sowie für Command and Control oder die Exfiltration von Daten verwenden. Durch ihren industriellen Output erschließt diese neue Art, Malware zu entwickeln, den Angreifern hohe Potentiale.

KI-Übersetzung von Code in exotische Sprachen für Distributed Denial of Detection

Dank LLMs können auch unbedarfte Entwickler Code in weniger bekannten Sprachen wie Nim, Zig oder Crystal schneller generieren. Malware in diesen Sprachen hebelt die Baseline für Erkennungslösungen aus. Denn die meisten dieser Lösungen nutzen für die Anomalie-Analyse Verhaltensnormen für Code in bekannten Sprachen wie .NET, C# oder C++ und erkennen bei Abweichungen Nischen-Code schwieriger oder gar nicht.

Außerdem können die Angreifer nun sehr leicht zwischen den unbekannten Sprachen wechseln. Die Programmierzeilen in den exotischen Sprachen funktionieren in verschiedenen Betriebssystemen und erhöhen damit den potenziellen Opferkreis.

Die Hacker fluten ihre Opfer über parallel implementierten Code in verschiedenen Sprachen und Kommunikationsprotokollen. Ist ein Kanal neutralisiert, funktioniert ein anderer Pfad. Automatisierte Volumenattacken, anstelle von eleganter und clever entwickelter Malware, erschöpfen die Defensive durch das schnelle, massenhafte und automatisierte Ausspielen bösartiger Tools.

Leistungsfähige Tools dank LOTS

Ein weiterer neuer Trend ist das Nutzen legitimer Diensten (LOTS). Die Urheber der Angriffe verwenden etwa Google Sheets, um dynamische Anleitungen für die Malware zu speichern. Sie greifen auch auf Cloud-Datenbaken wie Firebase oder Supabase zurück, um Metadaten und Zugangsdaten zu speichern. Slack- und Discord-Nachrichten nutzen sie, um Echtzeit-Kommandos oder erbeutete Daten zu übermitteln.

Die Angriffe starteten wie so oft durch Mails mit infizierten Anhängen. Hacker sind dabei an Informationen zum Armeepersonal sowie an Dokumenten zu internationalen Beziehungen, Strategie, Politik, Verteidigung und nationaler Sicherheit interessiert. Es finden sich aber auch Unternehmen aus der privaten Wirtschaft unter den Opfern. (rhh)

Die vollständige Analyse der Bitdefender Labs findet sich hier.