北朝鮮のKonniハッカーがAI構築マルウェアでブロックチェーンエンジニアを標的に

北朝鮮のハッカー集団Konniは、AI（人工知能）を駆使したマルウェアを用いて、ブロックチェーンエンジニアを標的にしています。報道によると、このハッカー集団は現在、AIが生成したPowerShellマルウェアを展開し、ブロックチェーン業界の開発者やエンジニアを標的にしているとのこと。.

北朝鮮のハッカー集団は少なくとも2014年から活動していると考えられており、APT37やKimuskyといった活動グループと関連があるとされている。この グループは 、韓国、ウクライナ、ロシア、そしてその他いくつかのヨーロッパ諸国にまたがる組織を標的にしてきた。CheckPointの研究者が分析した脅威サンプルによると、北朝鮮グループの最新の攻撃キャンペーンはアジア太平洋地域を標的としている。

北朝鮮のKonniグループがAI生成マルウェアを展開

報告書の中で、 研究者らは 、このマルウェアは日本、インド、オーストラリアで発見されたユーザーによって提出されたと主張しています。攻撃は、被害者がDiscordリンクを受信することから始まります。このリンクから、PDF形式のルアーと悪意のあるLNKショートカットファイルを含むZIPアーカイブが配信されます。このLNKファイルは、埋め込まれたPowerShellローダーを実行し、tracDOCXドキュメントと、PowerShellバックドア、2つのバッチファイル、UACバイパス実行ファイルを含むCABアーカイブを抽出します

ショートカットファイルが起動されると、DOCXファイルが開き、キャビネットファイルに含まれるバッチファイルが実行されます。ルアーとなるDOCXファイルには、ハッカーが開発環境への侵入を企んでいることが示されています。これにより、インフラストラクチャ、APIdent情報、ウォレットへのアクセス、そして最終的にはデジタル資産保有量といった機密資産へのアクセスが可能になります。最初のバッチファイルはバックドア用のステージングディレクトリを作成し、2番目のバッチファイルはバックドア用のステージングディレクトリを作成します。.

さらに、OneDriveの起動タスクを模倣した、1時間ごとに実行されるスケジュールタスクも作成します。このタスクは、XOR暗号化されたPowerShellスクリプトをディスクから読み取り、メモリ内で実行できるように復号します。これらのすべての手順を完了した後、自身を削除して感染の痕跡をすべて消去します。PowerShellバックドアは、算術ベースの文字列エンコード、実行時の文字列再構成、そして「Invoked-Expression」を使用した最終ロジックの実行などにより、その出所を強力に隠蔽します。

研究者によると、PowerShellマルウェアは、従来の方法で作成されたマルウェアではなく、AI支援による開発の存在を示している。これを示す証拠には、スクリプトの先頭にある明確で構造化されたドキュメントが含まれる。これはマルウェア開発では非常に珍しい。さらに、クリーンでモジュール化されたレイアウトと「# hackers 」。

チェックポイントの研究者がマルウェアの詳細を発表

研究者らは、この表現から、モデルが人間のユーザーにプレースホルダー値のカスタマイズ方法を指示していることも明らかだと説明した。このようなコメントは、AIが生成したスクリプトやチュートリアルでよく見られると研究者らは述べている。マルウェアは実行前に、ハードウェア、ソフトウェア、およびユーザーアクティビティのチェックを行い、分析環境で実行されていないことを確認する。それが確認されると、マルウェアは一意のホストIDを生成する。その後、指定された動作経路をたどる。.

バックドアが完全に起動し、感染デバイス上で実行されると、マルウェアはコマンドアンドコントロール（C2）サーバーに定期的に接続してホストメタデータを送信し、ランダムな間隔でサーバーをポーリングします。C2にPowerShellコードが含まれている場合、スクリプトブロックに変換され、バックグラウンドジョブを使用してアクティビティを実行します。CheckPointは、以前のランチャー形式とルアー名に基づいて、これらの攻撃は北朝鮮のKonni脅威アクターによるものであると指摘しました。.

さらに研究者らは、スクリプト名が重複していること以外にも、実行チェーンの構造に以前の攻撃との共通点があると主張しています。また、研究者らは、この最近の攻撃に関連する侵害指標（IOC）も公開しており、防御側が北朝鮮のKonni 攻撃 、資産を保護できるようにしています。