朝鮮民主主義人民共和國的Konni集團部署AI生成的惡意軟件，針對區塊鏈工程師

來源：CryptoNewsNet 原文標題：Konni 黑客利用 AI 惡意軟體攻擊區塊鏈工程師 原文連結： 北韓黑客組織 Konni 現在正利用人工智慧生成的惡意軟體攻擊區塊鏈工程師。據報導，該黑客組織正在部署由 AI 生成的 PowerShell 惡意軟體，針對區塊鏈行業的開發者和工程師。

据信，北韓黑客組織自至少 2014 年起就已經在運作，並與 APT37 和 Kimusky 活動群組相關聯。該組織已經攻擊了韓國、烏克蘭、俄羅斯以及多個歐洲國家的組織。根據威脅分析，最新的攻擊活動主要針對亞太地區。

攻擊機制

攻擊開始時，受害者會收到一個 Discord 連結，該連結會傳送一個 ZIP 壓縮檔，內含誘餌 PDF 和一個惡意的 LNK 快捷方式檔案。該 LNK 會執行一個嵌入的 PowerShell 加載器，提取一個 DOCX 文件和一個包含 PowerShell 後門、批次檔和 UAC 越獲執行檔的 CAB 壓縮檔。

在快捷方式檔案啟動後，DOCX 文件會打開並執行一個批次檔。誘餌文件暗示黑客的目標是破壞開發環境，以獲取敏感資產，包括基礎設施、API 憑證、錢包存取權和數位資產持有量。

第一個批次檔會建立一個用於後門的暫存目錄，而第二個批次檔則會建立一個模仿 OneDrive 啟動任務的每小時排程任務。該任務會從磁碟讀取一個 XOR 加密的 PowerShell 腳本，解密後在記憶體中執行，並在完成後刪除自身以抹除感染痕跡。

AI 協助的惡意軟體開發

該 PowerShell 後門利用算術字串編碼和運行時字串重建來掩蓋其來源。研究人員在分析中發現，這些惡意軟體展現出 AI 協助開發的跡象，而非傳統人工撰寫的惡意軟體，包括：

• 腳本頂部具有清晰且結構化的文件說明 (不尋常的 malware 特徵)
• 乾淨且模組化的程式碼佈局
• 佔位符註解如 “# <-- 你的永久專案 UUID”

這些元素在由大型語言模型（LLM）生成的程式碼和教程中常見，暗示北韓黑客利用 AI 工具進行惡意軟體開發。

執行與指揮控制

在執行前，惡意軟體會進行硬體、軟體和用戶活動檢查，以確保不在分析環境中運行。一旦在感染的裝置上啟動，該惡意軟體會定期聯繫指揮控制 (C2) 伺服器，傳送主機元資料並以隨機間隔輪詢。如果 C2 伺服器中包含 PowerShell 代碼，則會使用背景工作來執行。

根據啟動器格式相似性、誘餌名稱和執行鏈結構與早期活動的重疊，這些攻擊可以歸因於北韓的 Konni 威脅行為者。安全研究人員已發布入侵指標，以協助防禦者識別並防範此威脅。