Bitdefender ha svelato la strategia di attacco chiamata ‘vibeware’, nuova categoria di malware usata dal gruppo pakistano APT36 contro il governo indiano e le missioni diplomatiche. In questa nuova strategia un modello di produzione di malware assistito dall’AI viene utilizzato per riscrivere lo stesso malware in diversi linguaggi di programmazione poco diffusi. Inondando in questo modo gli obiettivi di varianti per sopraffare le difese. Non si tratta semplicemente di un aumento della complessità tecnica, ma di una vera e propria transizione verso l’industrializzazione del malware grazie all’AI. Ciò permette di generare e diffondere rapidamente codici binari monouso e poliglotti negli ambienti presi di mira.
vibeware cresce la capacità di aggirare i sistemi tradizionali di rilevamento
Il gruppo APT36 utilizza linguaggi di nicchia come Nim, Zig, Crystal e Rust, nascondendo il traffico di comando e controllo all’interno di piattaforme affidabili come Slack, Discord, Google Sheets e Supabase. Il tutto per rendere più difficile individuare e interrompere la sua attività. Nonostante i frequenti errori di programmazione, il vibeware aumenta la capacità di eludere i sistemi di rilevamento tradizionali e rende più complessa la risposta da parte dei team della sicurezza. L’analisi dei materiali recuperati indica un interesse mirato degli hacker verso:
– documentazione relativa a personale dell’esercito;
– affari esteri e diplomazia;
– documenti strategici e normativi;
– difesa e sicurezza nazionale.
Cosa è possibile fare per difendersi
– Priorità al rilevamento dei comportamenti. Dare priorità ai rilevamenti basati sul comportamento dei processi piuttosto che sul runtime dei file. Monitorare l’esecuzione di binari non firmati in directory scrivibili dall’utente (come %APPDATA%). Le piattaforme EDR dovrebbero segnalare chiamate API insolite o tecniche di process hollowing. Queste attività, infatti, rimangono costanti in tutta la flotta di malware, indipendentemente dal linguaggio di programmazione utilizzato.
– Verifica e controllo dei servizi cloud affidabili (LOTS). Monitorare in modo approfondito piattaforme come Discord, Slack e Google Sheets usate per comunicazioni di comando e controllo. Connessioni persistenti a questi servizi da binari non verificati devono essere considerate segnali di violazione.
– Ambienti di rete ostili. Rendere la rete dinamica e imprevedibile per ostacolare gli attacchi, combinando piattaforme EDR/XDR efficaci come Bitdefender GravityZone a operazioni consolidate di SOC/MDR. Queste misure aumentano la complessità operativa per l’hacker. Rendendogli così più difficile operare in modo nascosto durante le fasi di ricognizione e spostamento laterale.
