악성코드 공격을 구체화하기 위해 ChatGPT, Google의 Gemini 또는 Microsoft Copilot과 같은 AI 프로그램을 사용하는 해킹 그룹이 발견되었습니다.
보안 업체인 Proofpoint는 오늘 독일의 기업들에게 피싱 이메일을 보내는 'TA547'이라는 이름의 그룹에 대한 보고서를 발표했습니다. 이 이메일은 몇 년 동안 사용되어 온 Windows 기반 Rhadamanthys 멀웨어를 전달하도록 설계되었습니다. 하지만 이 공격에서 가장 흥미로운 부분은 AI 기반LLM(대규모 언어 모델)으로 작성된 흔적이 포함된 PowerShell 스크립트를 사용한다는 점입니다.
해커들은 작업을 자동화하고 실행하는 데 악용될 수 있는 Windows의 강력한 도구인 PowerShell을 자주 악용합니다. 이 피싱 이메일에는 비밀번호로 보호된 ZIP 파일이 포함되어 있으며, 이 파일을 열면 해커가 만든 PowerShell 스크립트가 실행되어 피해자의 컴퓨터에 Rhadamanthys 멀웨어를 디코딩하고 설치합니다.
이 공격을 조사하는 동안 Proofpoint 연구원들은 PowerShell 스크립트를 조사한 결과 해커가 사용하는 코드에서 "일반적으로 관찰되지 않는 흥미로운 특징"을 발견했다고 블로그 게시물에 썼습니다.
눈에 띄는 것은 컴퓨터 코드 한 줄의 목적을 설명하는 한 줄 주석을 만드는 데 PowerShell에서 사용할 수 있는 파운드 기호 #의 존재였습니다.
"PowerShell 스크립트에는 파운드 기호 뒤에 문법적으로 정확하고 매우 구체적인 주석이 스크립트의 각 구성 요소 위에 포함되어 있습니다. 이는 LLM으로 생성된 코딩 콘텐츠의 일반적인 결과물이며, TA547이 어떤 종류의 LLM 지원 도구를 사용하여 PowerShell을 작성(또는 재작성)했거나 이를 사용한 다른 소스에서 스크립트를 복사했음을 시사합니다."라고 Proofpoint는 말합니다.
실제로 ChatGPT, Copilot 또는 Gemini에 유사한 PowerShell 스크립트를 작성해 달라고 요청하면 동일한 형식으로 응답하며 파운드 기호와 함께 설명을 덧붙입니다. 반면, 인간 해커는 자신의 기술을 위장하는 것이 목표이기 때문에 이러한 설명을 피할 것입니다.
하지만 Proofpoint는 TA547이 AI 챗봇의 도움을 받아 PowerShell 스크립트를 만들었다고 단정할 수는 없습니다. 그럼에도 불구하고 이 사례는 사이버 범죄자들이 어떻게 무료로 제공되는 LLM을 활용하여 공격을 정교화할 수 있는지 보여줍니다. 지난 2월, Microsoft와 OpenAI는 중국, 러시아, 북한의 국가 지원 해커들이 생성 AI를 사용하여 컴퓨터 코드를 디버깅하고 잠재적 공격을 위한 연구를 수행하고 있다고 경고한 바 있습니다.
TA547의 경우, 다행스러운 점은 PowerShell 스크립트가 멀웨어 공격을 어떤 식으로든 업그레이드하지 않았다는 점이라고 Proofpoint는 말합니다. "TA547은 LLM에서 생성된 것으로 의심되는 콘텐츠를 전체 공격 체인에 통합했지만 멀웨어의 기능이나 효율성을 변경하거나 보안 툴의 방어 방식을 변경하지는 않았습니다."라고 덧붙였습니다.
※ 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 것으로, 퀘이사존 견해와 주관은 포함되어 있지 않습니다. |