APT36 koristi AI za masovnu proizvodnju malvera (Vibeware)
APT36 grupa koristi AI generisanje koda kako bi proizvela veliki broj varijanti malvera nazvanih Vibeware. Kampanja se oslanja na fišing poruke sa ZIP ili ISO prilozima koji pokreću PowerShell skripte, nakon čega se instaliraju alati poput Warcode, NimLoader i CreepDropper, često u kombinaciji sa Cobalt Strike ili Havoc frameworkom.
Pojašnjenje
Strategija zasnovana na masovnom generisanju malvera umesto na pojedinačnim sofisticiranim alatima ima cilj da preplavi detekcione sisteme stalnim novim varijantama. Time se tradicionalni modeli detekcije zasnovani na potpisima i poznatim obrascima sve teže održavaju.
Preporuke
- Blokirati ISO i ZIP priloge iz nepoznatih fišing kampanja
- Pratiti PowerShell aktivnosti i neautorizovane skripte
- Detektovati Cobalt Strike i Havoc komunikaciju u mreži
- Uvesti analizu ponašanja malvera umesto oslanjanja samo na signature detekciju