يستهدف قراصنة "كوني" الكوريون الشماليون مهندسي تقنية البلوك تشين ببرمجيات خبيثة مبنية على الذكاء الاصطناعي

تستهدف مجموعة القرصنة الكورية الشمالية "كوني" مهندسي تقنية البلوك تشين ببرمجيات خبيثة مُولّدة بواسطة الذكاء الاصطناعي. ووفقًا للتقارير، تقوم المجموعة حاليًا بنشر برمجيات خبيثة مُولّدة بواسطة الذكاء الاصطناعي تعمل بلغة PowerShell، لاستهداف المطورين والمهندسين في مجال تقنية البلوك تشين.

يُعتقد أن مجموعة القرصنة الكورية الشمالية تعمل منذ عام ٢٠١٤ على الأقل، وترتبط بمجموعتي APT37 وKimusky. المجموعة منظمات منتشرة في كوريا الجنوبية وأوكرانيا وروسيا والعديد من الدول الأوروبية الأخرى. ووفقًا لعينة التهديدات التي حللها باحثو CheckPoint، فإن أحدث حملة للمجموعة الكورية الشمالية تستهدف منطقة آسيا والمحيط الهادئ.

جماعة كوني الكورية الشمالية تنشر برمجيات خبيثة مولدة بالذكاء الاصطناعي

في التقرير، الباحثون أن البرمجيات الخبيثة تم نشرها من قبل مستخدمين عثروا عليها في اليابان والهند وأستراليا. يبدأ الهجوم بتلقي الضحية رابطًا على منصة ديسكورد يُحمّل ملفًا مضغوطًا (ZIP) يحتوي على ملف PDF مُضلل وملف اختصار خبيث (LNK). يقوم ملف الاختصار (LNK) بتشغيل مُحمّل PowerShell مُضمّن يستخرجtracDOCX وملف CAB يحتوي على باب خلفي لـ PowerShell، وملفين دفعيين، وملف تنفيذي لتجاوز نظام التحكم في حساب المستخدم (UAC).

بعد تشغيل ملف الاختصار، يُفتح ملف DOCX ويُنفّذ ملف دفعي مُضمّن في ملف مضغوط. يُظهر ملف DOCX المُضلّل أن المُخترق يُريد اختراق بيئة التطوير، مما قد يُتيح له الوصول إلى أصول حساسة، بما في ذلك البنية التحتية، وبياناتdentواجهة برمجة التطبيقات، والوصول إلى المحفظة، وأخيرًا حيازات الأصول الرقمية. يُنشئ الملف الدفعي الأول دليلًا مؤقتًا للباب الخلفي، ثم يُنشئ الملف الدفعي الثاني دليلًا مؤقتًا للباب الخلفي.

بالإضافة إلى ذلك، يقوم البرنامج بإنشاء مهمة مجدولة كل ساعة تحاكي مهمة بدء تشغيل OneDrive. تقرأ هذه المهمة نصًا برمجيًا PowerShell مشفرًا باستخدام XOR من القرص، ثم تفك تشفيره لتنفيذه في الذاكرة. بعد إتمام هذه الخطوات، يحذف البرنامج نفسه لإخفاء جميع آثار الإصابة. يُخفي باب PowerShell الخلفي مصدره بشكل كبير باستخدام ترميز السلاسل النصية القائم على العمليات الحسابية، وإعادة بناء السلاسل النصية أثناء التشغيل، وتنفيذ المنطق النهائي باستخدام "Invoked-Expression"

بحسب الباحثين، يشير برنامج PowerShell الخبيث إلى وجود تطوير مدعوم بالذكاء الاصطناعي بدلاً من البرامج الخبيثة المصممة بالطرق التقليدية. ومن الأدلة على ذلك وجود توثيق واضح ومنظم في بداية البرنامج النصي، وهو أمر غير معتاد في تطوير البرامج الخبيثة. إضافةً إلى ذلك، يتميز البرنامج بتصميم نظيف ووحدات قابلة للتجزئة، ووجود عبارة "# hackers."

يقدم باحثو شركة CheckPoint تفاصيل حول البرمجيات الخبيثة

أوضح الباحثون أن الصياغة تُظهر أيضًا أن النموذج يُرشد المستخدم البشري إلى كيفية تخصيص قيمة العنصر النائب. وأشاروا إلى أن مثل هذه التعليقات شائعة في البرامج النصية والبرامج التعليمية المُولّدة بواسطة الذكاء الاصطناعي. قبل التنفيذ، يُجري البرنامج الخبيث فحصًا للأجهزة والبرامج ونشاط المستخدم للتأكد من عدم تشغيله في بيئات تحليلية. وبمجرد التأكد من ذلك، يُنشئ مُعرّفًا فريدًا للمضيف. بعد ذلك، يتبع مسار عمل مُحدد.

بمجرد تفعيل الباب الخلفي وتشغيله بالكامل على الجهاز المصاب، يتصل البرنامج الخبيث بخادم التحكم والسيطرة (C2) بشكل دوري لإرسال بيانات تعريف الجهاز، ويستطلع الخادم على فترات عشوائية. إذا كان خادم التحكم والسيطرة يحتوي على كود PowerShell، فإنه يتحول إلى كتلة برمجية وينفذ أنشطته باستخدام عمليات في الخلفية. أشارت شركة CheckPoint إلى أن هذه الهجمات يمكن نسبها إلى جهة التهديد الكورية الشمالية Konni استنادًا إلى تنسيق المُشغِّل السابق واسم الطعم.

بالإضافة إلى ذلك، ادعى الباحثون أنه إلى جانب تشابه أسماء البرامج النصية، توجد عناصر مشتركة أخرى في بنية سلسلة التنفيذ مع الهجمات السابقة. كما نشر الباحثون مؤشرات الاختراق المرتبطة بهذه الحملة الأخيرة لمساعدة المدافعين على التعرف على تعرضهم لهجوم من حملة وبالتالي حماية أصولهم.