Gli hacker nordcoreani Konni prendono di mira gli ingegneri blockchain con malware basati sull'intelligenza artificiale

Il gruppo di hacker nordcoreano Konni sta ora prendendo di mira gli ingegneri blockchain con un malware generato dall'intelligenza artificiale. Secondo quanto riportato, il gruppo di hacker sta ora implementando il malware PowerShell generato dall'intelligenza artificiale, utilizzandolo per colpire sviluppatori e ingegneri nel settore blockchain.

Si ritiene che il gruppo di hacker nordcoreano sia attivo almeno dal 2014 e sia associato ai cluster di attività APT37 e Kimusky. Il gruppo ha preso di mira organizzazioni dislocate in Corea del Sud, Ucraina, Russia e diversi altri paesi europei. Secondo l'analisi delle minacce condotta dai ricercatori di CheckPoint, l'ultima campagna del gruppo nordcoreano è diretta verso la regione Asia-Pacifico.

Il gruppo nordcoreano Konni distribuisce malware generato dall'intelligenza artificiale

Nel rapporto, i ricercatori hanno affermato che il malware è stato inviato da utenti che lo hanno trovato in Giappone, India e Australia. L'attacco inizia con la ricezione da parte della vittima di un link Discord che fornisce un archivio ZIP contenente un'esca PDF e un file di collegamento LNK dannoso. L'LNK esegue un loader PowerShell incorporato che estraetracdocumento DOCX e un archivio CAB contenente una backdoor PowerShell, due file batch e un eseguibile che bypassa l'UAC.

Dopo l'avvio del file di collegamento, il DOCX si apre ed esegue un file batch incluso nel file CAB. Il documento DOCX esca mostra che l'hacker vuole compromettere l'ambiente di sviluppo, che potrebbe fornirgli accesso a risorse sensibili, tra cui infrastruttura,dentAPI, accesso al wallet e, infine, risorse digitali. Il primo file batch crea una directory di staging per la backdoor e il secondo file batch.

Inoltre, crea un'attività pianificata ogni ora che imita l'attività di avvio di OneDrive. L'attività legge uno script PowerShell crittografato con XOR dal disco e lo decrittografa per l'esecuzione in memoria. Dopo aver completato tutti questi passaggi, si elimina per cancellare tutti i segni di un'infezione. La backdoor di PowerShell maschera pesantemente la sua origine utilizzando la codifica delle stringhe basata su aritmetica, la ricostruzione delle stringhe in fase di esecuzione e l'esecuzione della logica finale tramite "Invoked-Expression"

Secondo i ricercatori, il malware PowerShell indica la presenza di uno sviluppo assistito dall'IA piuttosto che di un malware creato tradizionalmente. Le prove a sostegno di questa affermazione includono la documentazione chiara e strutturata all'inizio dello script, cosa molto insolita per lo sviluppo di malware. Inoltre, presenta un layout pulito e modulare e la presenza di un "# hackers.

I ricercatori di CheckPoint forniscono dettagli sul malware

I ricercatori hanno spiegato che la formulazione mostra anche che il modello fornisce istruzioni a un utente umano su come personalizzare il valore segnaposto. Hanno affermato che tali commenti sono comunemente presenti in script e tutorial generati dall'intelligenza artificiale. Prima dell'esecuzione, il malware esegue un controllo hardware, software e dell'attività dell'utente per assicurarsi di non essere in esecuzione in ambienti di analisi. Una volta determinato ciò, genera un ID host univoco. Successivamente, segue un percorso di azione specificato.

Una volta che la backdoor è completamente attivata e in esecuzione sul dispositivo infetto, il malware contatta periodicamente il server di comando e controllo (C2) per inviare metadati all'host ed esegue interrogazioni sul server a intervalli casuali. Se il C2 contiene codice PowerShell, si trasforma in un blocco di script ed esegue le sue attività utilizzando processi in background. CheckPoint ha osservato che questi attacchi possono essere attribuiti all'autore della minaccia nordcoreana Konni, in base al formato del launcher e al nome dell'esca.

Inoltre, i ricercatori hanno affermato che, oltre alla sovrapposizione dei nomi degli script, ci sono altri elementi comuni nella struttura della catena di esecuzione con attacchi precedenti. I ricercatori hanno anche pubblicato indicatori di compromissione associati a questa recente campagna per aiutare i difensori a riconoscere quando sono stati attaccati dalla campagna in modo da poter proteggere i propri beni.