Nach Angaben von Huntress bestand die Angriffskette zunächst aus dem RDP-Zugriff auf einen domänengebundenen Windows-Server mithilfe bereits kompromittierter Zugangsdaten. Danach platzierte der Angreifer seine Werkzeuge unter „C:\ProgramData\“. Im Zentrum stand ein eigens erstelltes PowerShell-Skript zur Erkundung der Active-Directory-Umgebung.
Jevon Ang und Dray Agha von Huntress schreiben, das Skript habe nach dem Domain Controller gesucht und anschließend Benutzer, Computer und Domänen kartiert, bevor es ein Verzeichnis anlegte, mehrere Dateien exportierte und schließlich „AD_Report.html“ erstellte, um den Erfolg des Ausspähungsversuchs zu messen. Huntress beschreibt das Skript als „hochgradig aggressiv“ und „laut“. Es nutze einen „fünfstufigen kaskadierenden Ausweichmechanismus“, um Aufklärung und Erkundung zu ermöglichen.
Der Dateititel „100% Working AD Information Gathering Script - FULLY FIXED“ gilt den Forschern als weiterer Hinweis auf einen Austausch mit einem großen Sprachmodell. Die Einschätzung stützt Huntress zudem auf Platzhaltertexte, übertechnisierten Code mit mehreren Wegen zur Ermittlung eines Domain Controllers sowie auf eine ausgeschmückte Konsolenausgabe in Cyan, Grün, Rot und Gelb. Laut den Forschern dürfte es sich bei bestimmten Eigenheiten des Skripts eher um eine „hilfreiche“ Eingabe des Sprachmodells handeln, der der Angreifer einfach gefolgt sei, statt diese bewusst selbst eingebaut zu haben.
Sobald der primäre Domain Controller gefunden war, startete das Skript eine Datensammelroutine. Dabei wurden laut Huntress systematisch Active-Directory-Benutzer, Computer, Gruppen, organisatorische Einheiten und Vertrauensstellungen erfasst und in einem Staging-Verzeichnis abgelegt.
Rund 30 Minuten später setzte der Angreifer zusätzlich s5cmd ein, ein legitimes Werkzeug für Dateioperationen in größerem Umfang, sowie SharpShares, ein in C# geschriebenes Hilfsprogramm zur Erkundung von Netzwerkfreigaben. Ziel war es nach Angaben von Huntress, nach für Benutzer zugänglichen Datenspeichern zu suchen.
In der letzten Phase wurden die Daten dem Bericht zufolge in CSV-Dateien geschrieben, archiviert und an einen entfernten Server exfiltriert. Zuvor erzeugte der Angreifer noch eine HTML-Datei, die den Datendiebstahl in Form eines „Active Directory Inventory Report“ zusammenfasste.
Huntress wertet den Vorfall als weiteres Anzeichen dafür, dass Angreifer ihr Arsenal mit per KI-Unterstützung erstellter Schadsoftware und Werkzeugen erweitern. Neu seien die Methoden selbst nicht, wohl aber die niedrigere Hürde für deren Umsetzung. Die zugrunde liegende Angriffskette gleiche weiterhin einem seit Jahren bekannten schnellen Beutezug, werde nun aber gezielt durch KI ergänzt.
Auf eine ähnliche Entwicklung weist auch Sygnia in einem vergangene Woche veröffentlichten Bericht hin. Das Unternehmen beschreibt einen KI-unterstützten Cloud-Angriff auf eine große, auf Amazon Web Services basierende Umgebung, der sich innerhalb von etwa 72 Stunden von initialem Zugriff zu einer weitreichenden Kompromittierung entwickelte. Laut Sygnia brauchten die Angreifer dafür weder neuartige Malware noch Zero-Days; entscheidend sei vielmehr die Geschwindigkeit und Größenordnung, mit der sich bekannte Techniken orchestrieren ließen. Als mutmaßliches Ziel der Aktivität nennt Sygnia finanzielle Motive und Erpressung über den Zugriff auf die Cloud-Infrastruktur des Opfers.
