Nordkoreanische Konni-Hacker zielen mit KI-gesteuerter Malware auf Blockchain-Ingenieure ab

Die nordkoreanische Hackergruppe Konni zielt nun mit KI-generierter Malware auf Blockchain-Ingenieure ab. Berichten zufolge setzt die Gruppe derzeit die KI-generierte PowerShell-Malware ein, um Entwickler und Ingenieure der Blockchain-Branche anzugreifen.

Die nordkoreanische Hackergruppe ist vermutlich seit mindestens 2014 aktiv und steht in Verbindung mit den Hackergruppen APT37 und Kimusky. Die Gruppe hat Organisationen in Südkorea, der Ukraine, Russland und mehreren anderen europäischen Ländern angegriffen. Laut der von Check Point-Forschern analysierten Bedrohungsanalyse zielt die jüngste Kampagne der nordkoreanischen Gruppe auf die Asien-Pazifik-Region ab.

Die nordkoreanische Konni-Gruppe setzt KI-generierte Malware ein

In dem Bericht gaben die Forscher an, dass die Schadsoftware von Nutzern in Japan, Indien und Australien gemeldet wurde. Der Angriff beginnt damit, dass das Opfer einen Discord-Link erhält, der ein ZIP-Archiv mit einer PDF-Listdatei und einer schädlichen LNK-Verknüpfungsdatei enthält. Die LNK-Datei führt einen eingebetteten PowerShell-Loader aus, dertrac. Dieses Archiv enthält eine PowerShell-Hintertür, zwei Batchdateien und eine ausführbare Datei zur Umgehung der Benutzerkontensteuerung (UAC).

Nach dem Start der Verknüpfungsdatei öffnet sich die DOCX-Datei und führt eine darin enthaltene Batch-Datei aus. Das präparierte DOCX-Dokument suggeriert, dass der Hacker die Entwicklungsumgebung kompromittieren möchte, um Zugriff auf sensible Daten wie Infrastruktur, API-dent, Wallet-Zugang und letztendlich digitale Vermögenswerte zu erlangen. Die erste Batch-Datei erstellt ein Staging-Verzeichnis für die Backdoor und die zweite Batch-Datei.

Zusätzlich erstellt es eine stündlich geplante Aufgabe, die den Startvorgang von OneDrive nachahmt. Diese Aufgabe liest ein XOR-verschlüsseltes PowerShell-Skript von der Festplatte und entschlüsselt es zur Ausführung im Arbeitsspeicher. Nach Abschluss all dieser Schritte löscht sie sich selbst, um alle Spuren einer Infektion zu beseitigen. Die PowerShell-Backdoor verschleiert ihren Ursprung durch arithmetische String-Codierung, Laufzeit-String-Rekonstruktion und die Ausführung der finalen Logik mittels „Invoked-Expression“

Laut den Forschern deutet die PowerShell-Malware eher auf eine KI-gestützte Entwicklung als auf herkömmlich erstellte Malware hin. Zu den Indizien hierfür zählen die klare und strukturierte Dokumentation am Anfang des Skripts, was für Malware-Entwicklung sehr ungewöhnlich ist. Darüber hinaus weist es ein übersichtliches und modulares Layout sowie das Vorhandensein eines „# Hacker“.

Die Forscher von Check Point liefern Details zur Malware

Die Forscher erklärten, dass die Formulierung auch darauf hindeutet, dass das Modell dem menschlichen Benutzer Anweisungen zur Anpassung des Platzhalterwerts gibt. Solche Kommentare seien in KI-generierten Skripten und Tutorials üblich. Vor der Ausführung prüft die Malware Hardware, Software und Benutzeraktivitäten, um sicherzustellen, dass sie nicht in Analyseumgebungen ausgeführt wird. Sobald dies bestätigt ist, generiert sie eine eindeutige Host-ID und folgt anschließend einem festgelegten Ablauf.

Sobald die Hintertür vollständig aktiviert ist und auf dem infizierten Gerät ausgeführt wird, kontaktiert die Malware den Command-and-Control-Server (C2-Server) regelmäßig, um Host-Metadaten zu senden und den Server in zufälligen Abständen abzufragen. Enthält der C2-Server PowerShell-Code, wird dieser in einen Skriptblock umgewandelt und führt seine Aktivitäten im Hintergrund aus. Check Point stellte fest, dass diese Angriffe aufgrund des bekannten Launcher-Formats und des Ködernamens dem nordkoreanischen Bedrohungsakteur Konni zuzuordnen sind.

Darüber hinaus stellten die Forscher fest, dass neben der Übereinstimmung der Skriptnamen weitere Gemeinsamkeiten in der Ausführungskettenstruktur mit früheren Angriffen bestehen. Sie veröffentlichten außerdem Indikatoren für eine Kompromittierung im Zusammenhang mit dieser jüngsten Kampagne, um Verteidigern zu helfen, einen Angriff der nordkoreanischen Konni- Kampagne und ihre Systeme zu schützen.