Группа Конни из Северной Кореи развертывает вредоносное ПО, созданное с помощью ИИ, с целью атаки на блокчейн-инженеров

Источник: CryptoNewsNet Оригинальный заголовок: Хакеры Konni нацелились на блокчейн-инженеров с помощью ИИ-малваре Оригинальная ссылка: Группа хакеров из Северной Кореи Konni теперь нацелена на блокчейн-инженеров с помощью вредоносного ПО, созданного с использованием искусственного интеллекта. Согласно отчетам, группа злоумышленников развертывает PowerShell-малваре, сгенерированное ИИ, для атаки разработчиков и инженеров в индустрии блокчейн.

Группа хакеров из Северной Кореи, по предположениям, действует как минимум с 2014 года и связана с кластерами активности APT37 и Kimusky. Группа нацелена на организации в Южной Корее, Украине, России и нескольких европейских странах. Согласно анализу угроз, последняя кампания ориентирована на регион Азиатско-Тихоокеанского региона.

Механизм атаки

Атака начинается с получения жертвой ссылки в Discord, которая доставляет ZIP-архив с приманкой в виде PDF и вредоносным ярлыком LNK. Ярлык запускает встроенный загрузчик PowerShell, который извлекает документ DOCX и CAB-архив, содержащий бэкдор PowerShell, пакетные файлы и исполняемый файл для обхода UAC.

После запуска файла ярлыка открывается DOCX и выполняется пакетный файл. Документ-приманка указывает, что хакеры стремятся скомпрометировать среду разработки для получения доступа к чувствительным активам, включая инфраструктуру, учетные данные API, доступ к кошелькам и цифровым активам.

Первый пакетный файл создает каталог для размещения бэкдора, в то время как второй создает задачу по расписанию на каждый час, имитирующую запуск OneDrive. Задача читает зашифрованный XOR-шифрованием скрипт PowerShell с диска, расшифровывает его для выполнения в памяти и затем удаляет себя, чтобы стереть следы заражения.

Разработка вредоносного ПО с помощью ИИ

Бэкдор PowerShell маскирует свое происхождение, используя арифметическое кодирование строк и динамическое восстановление строк во время выполнения. Исследователи обнаружили признаки разработки с помощью ИИ, а не традиционного написания вредоносного ПО, включая:

• Четкую и структурированную документацию в начале скрипта (необычно для вредоносных программ)
• Чистую и модульную структуру кода
• Наличие комментариев-заполнителей, таких как “# <-- ваш постоянный UUID проекта”

Эти элементы часто встречаются в коде и учебных материалах, созданных с помощью LLM, что указывает на использование ИИ-инструментов при разработке вредоносного ПО группой из Северной Кореи.

Исполнение и командование и управление

Перед выполнением вредоносное ПО проверяет аппаратное обеспечение, программное обеспечение и активность пользователя, чтобы убедиться, что оно не работает в средах анализа. После активации на зараженном устройстве вредоносное ПО периодически связывается с серверами командования и управления (C2), отправляя метаданные хоста и опрашивая их в случайные интервалы. Если C2 содержит код PowerShell, он выполняется с помощью фоновых задач.

Эти атаки можно отнести к группе угроз из Северной Кореи Konni, основываясь на сходстве формата загрузчика, названиях приманок и структуре цепочки выполнения, совпадающих с предыдущими кампаниями. Исследователи безопасности опубликовали индикаторы компрометации, чтобы помочь защитникам выявлять и противостоять этой угрозе.