Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
Северокорейские хакеры из Konni атакуют инженеров блокчейна с помощью вредоносного ПО, созданного на основе искусственного интеллекта
Овотунсе Адебайо
- Северокорейские хакеры из Konni теперь атакуют разработчиков и инженеров блокчейна с помощью вредоносного ПО, созданного с помощью искусственного интеллекта.
- Исследователи утверждают, что один из штаммов вредоносного ПО связан с тем, который группа использовала ранее.
- Исследователи CheckPoint предоставляют подробную информацию о вредоносном ПО и призывают пользователей принять меры предосторожности.
Северокорейская хакерская группа Konni теперь атакует инженеров блокчейна с помощью вредоносного ПО, созданного искусственным интеллектом. Согласно сообщениям, группа хакеров использует созданное с помощью ИИ вредоносное ПО PowerShell для атак на разработчиков и инженеров в блокчейн-индустрии.
Считается, что северокорейская хакерская группа действует как минимум с 2014 года и связана с группами APT37 и Kimusky. Группа атаковала организации в Южной Корее, Украине, России и ряде других европейских стран. Согласно анализу данных об угрозах, проведенному исследователями CheckPoint, последняя кампания северокорейской группы направлена на Азиатско-Тихоокеанский регион.
Северокорейская группировка Konni использует вредоносное ПО, созданное с помощью искусственного интеллекта
В отчете исследователи заявили, что вредоносное ПО было отправлено пользователями, обнаружившими его в Японии, Индии и Австралии. Атака начинается с того, что жертва получает ссылку на Discord, которая ведет к ZIP-архиву, содержащему PDF-файл-приманку и вредоносный файл ярлыка LNK. LNK запускает встроенный загрузчик PowerShell, который извлекаетtracDOCX и CAB-архив, содержащий бэкдор PowerShell, два пакетных файла и исполняемый файл для обхода UAC.
После запуска файла ярлыка открывается и выполняется пакетный файл DOCX, включенный в файл архива. Документ DOCX, содержащий подсказку, показывает, что хакер хочет скомпрометировать среду разработки, что может предоставить ему доступ к конфиденциальным активам, включая инфраструктуру,dentданные API, доступ к кошельку и, наконец, к цифровым активам. Первый пакетный файл создает временный каталог для бэкдора, а второй — для других пакетов.
Кроме того, он также создает запланированную задачу, запускаемую каждый час, которая имитирует задачу запуска OneDrive. Задача считывает зашифрованный с помощью XOR скрипт PowerShell с диска и расшифровывает его для выполнения в оперативной памяти. После выполнения всех этих шагов он удаляет себя, чтобы стереть все признаки заражения. Бэкдор PowerShell тщательно маскирует свое происхождение, используя арифметическое кодирование строк, восстановление строк во время выполнения и выполнение окончательной логики с помощью «вызываемого выражения»
По словам исследователей, вредоносная программа PowerShell указывает на разработку с помощью ИИ, а не на создание вредоносного ПО традиционным способом. Доказательствами этого являются четкая и структурированная документация в начале скрипта, что крайне необычно для разработки вредоносного ПО. Кроме того, она имеет чистую и модульную структуру, а также наличие хештегов «# хакеры».
Исследователи CheckPoint предоставили подробную информацию о вредоносном ПО
Исследователи объяснили, что формулировка также показывает, что модель инструктирует пользователя о том, как настроить значение-заполнитель. Они отметили, что подобные комментарии часто встречаются в скриптах и руководствах, созданных с помощью ИИ. Перед запуском вредоносная программа проводит проверку оборудования, программного обеспечения и активности пользователя, чтобы убедиться, что она не работает в средах анализа. После этого она генерирует уникальный идентификатор хоста. Затем она следует указанному пути действий.
После полной активации и запуска бэкдора на зараженном устройстве вредоносная программа периодически связывается с сервером управления и контроля (C2) для отправки метаданных хоста и опрашивает сервер через случайные промежутки времени. Если C2 содержит код PowerShell, он преобразуется в блок скрипта и выполняет свои действия с помощью фоновых задач. Компания CheckPoint отметила, что эти атаки можно отнести к северокорейской группировке Konni, судя по ранее использованному формату запуска и названию приманки.
Кроме того, исследователи утверждают, что помимо совпадения названий скриптов, в структуре цепочки выполнения есть и другие общие элементы с более ранними атаками. Исследователи также опубликовали индикаторы компрометации, связанные с этой недавней кампанией, чтобы помочь защитникам распознать, когда они подверглись атаке северокорейской кампании , и защитить свои активы.
Если вы это читаете, значит, вы уже впереди. Оставайтесь на шаг впереди, подписавшись на нашу рассылку.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
Овотунсе Адебайо
Адебайо — писатель с четырехлетним опытом работы в криптопространстве. Он окончил Университет Лагоса, где изучал городское и региональное планирование. Адебайо работал в Tokenhell и CryptoTicker, где писал новости о криптовалютах и финтехе. В настоящее время он является автором новостей для Cryptopolitan.
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)