مجموعة كونني الكورية الشمالية تنشر برامج ضارة مولدة بواسطة الذكاء الاصطناعي تستهدف مهندسي البلوكشين

المصدر: CryptoNewsNet العنوان الأصلي: هاكرز كونني يستهدفون مهندسي البلوكشين ببرمجيات خبيثة تعتمد على الذكاء الاصطناعي الرابط الأصلي: مجموعة القرصنة الكورية الشمالية كونني تستهدف الآن مهندسي البلوكشين باستخدام برمجيات خبيثة مولدة بالذكاء الاصطناعي. ووفقًا للتقارير، تقوم مجموعة القراصنة بنشر برمجيات خبيثة من نوع PowerShell مولدة بالذكاء الاصطناعي لاستهداف المطورين والمهندسين في صناعة البلوكشين.

يُعتقد أن مجموعة القراصنة الكورية الشمالية كانت تعمل منذ عام 2014 على الأقل وترتبط بمجموعات نشاط APT37 وKimusky. استهدفت المجموعة منظمات عبر كوريا الجنوبية وأوكرانيا وروسيا وعدة دول أوروبية. ووفقًا لتحليل التهديدات، فإن الحملة الأخيرة تستهدف منطقة آسيا والمحيط الهادئ.

آلية الهجوم

يبدأ الهجوم بتلقي الضحايا رابط Discord يُرسل أرشيف ZIP يحتوي على ملف PDF مغرٍ وملف اختصار LNK خبيث. يقوم ملف LNK بتشغيل محمل PowerShell مدمج يستخرج مستند DOCX وأرشيف CAB يحتوي على باب خلفي من نوع PowerShell وملفات دفعة وبرنامج تنفيذ لتجاوز UAC.

بعد تشغيل ملف الاختصار، يفتح مستند DOCX وينفذ ملف دفعة. يشير مستند المغرٍ إلى أن القراصنة يهدفون إلى اختراق بيئة التطوير للوصول إلى الأصول الحساسة، بما في ذلك البنية التحتية، بيانات اعتماد API، الوصول إلى المحافظ، وحيازات الأصول الرقمية.

ينشئ ملف الدفعة الأول مجلد إعداد مؤقت للباب الخلفي، بينما ينشئ ملف الدفعة الثاني مهمة مجدولة كل ساعة تحاكي مهمة بدء تشغيل OneDrive. تقرأ المهمة نص برمجية PowerShell مشفر باستخدام XOR من القرص، وتفك تشفيره للتنفيذ في الذاكرة، ثم تحذف نفسها لمحو آثار الإصابة.

تطوير البرمجيات الخبيثة بمساعدة الذكاء الاصطناعي

يخفي الباب الخلفي PowerShell أصله باستخدام ترميز السلاسل الحسابي و إعادة بناء السلاسل أثناء التشغيل. حدد الباحثون علامات على أن التطوير تم بمساعدة الذكاء الاصطناعي بدلاً من البرمجيات الخبيثة التي تم تأليفها تقليديًا، بما في ذلك:

• توثيق واضح ومنظم في أعلى السكربت (غير معتاد للبرمجيات الخبيثة)
• تنظيم نظيف وواضح للكود
• وجود تعليقات على نمط “# <-- معرف مشروعك الدائم UUID”

تُرى هذه العناصر بشكل شائع في الكود والدروس التي تم إنشاؤها بواسطة نماذج اللغة الكبيرة (LLM)، مما يشير إلى أن القراصنة الكوريين الشماليين استخدموا أدوات الذكاء الاصطناعي في تطوير البرمجيات الخبيثة.

التنفيذ والتحكم والأوامر

قبل التنفيذ، تقوم البرمجية الخبيثة بإجراء فحوصات للأجهزة، والبرمجيات، ونشاط المستخدم لضمان عدم تشغيلها في بيئات التحليل. بمجرد تفعيلها على جهاز مصاب، تتصل خوادم التحكم والأوامر (C2) بشكل دوري لإرسال بيانات التعريف الخاصة بالمضيف وتقوم بالاستطلاعات على فترات عشوائية. إذا كانت خوادم C2 تحتوي على كود PowerShell، فإنها تنفذه باستخدام وظائف خلفية.

يمكن نسب هذه الهجمات إلى جهة التهديد الكورية الشمالية كونني استنادًا إلى تشابهات في تنسيق المشغل، وأسماء المغريات، وتداخلات في بنية سلسلة التنفيذ مع حملات سابقة. نشر الباحثون الأمنيون مؤشرات على الاختراق لمساعدة المدافعين على التعرف على هذا التهديد وحمايته.