Северокорейские хакеры из Konni атакуют инженеров блокчейна с помощью вредоносного ПО, созданного на основе искусственного интеллекта

Северокорейская хакерская группа Konni теперь атакует инженеров блокчейна с помощью вредоносного ПО, созданного искусственным интеллектом. Согласно сообщениям, группа хакеров использует созданное с помощью ИИ вредоносное ПО PowerShell для атак на разработчиков и инженеров в блокчейн-индустрии.

Считается, что северокорейская хакерская группа действует как минимум с 2014 года и связана с группами APT37 и Kimusky. Группа атаковала организации в Южной Корее, Украине, России и ряде других европейских стран. Согласно анализу данных об угрозах, проведенному исследователями CheckPoint, последняя кампания северокорейской группы направлена ​​на Азиатско-Тихоокеанский регион.

Северокорейская группировка Konni использует вредоносное ПО, созданное с помощью искусственного интеллекта

В отчете исследователи заявили, что вредоносное ПО было отправлено пользователями, обнаружившими его в Японии, Индии и Австралии. Атака начинается с того, что жертва получает ссылку на Discord, которая ведет к ZIP-архиву, содержащему PDF-файл-приманку и вредоносный файл ярлыка LNK. LNK запускает встроенный загрузчик PowerShell, который извлекаетtracDOCX и CAB-архив, содержащий бэкдор PowerShell, два пакетных файла и исполняемый файл для обхода UAC.

После запуска файла ярлыка открывается и выполняется пакетный файл DOCX, включенный в файл архива. Документ DOCX, содержащий подсказку, показывает, что хакер хочет скомпрометировать среду разработки, что может предоставить ему доступ к конфиденциальным активам, включая инфраструктуру,dentданные API, доступ к кошельку и, наконец, к цифровым активам. Первый пакетный файл создает временный каталог для бэкдора, а второй — для других пакетов.

Кроме того, он также создает запланированную задачу, запускаемую каждый час, которая имитирует задачу запуска OneDrive. Задача считывает зашифрованный с помощью XOR скрипт PowerShell с диска и расшифровывает его для выполнения в оперативной памяти. После выполнения всех этих шагов он удаляет себя, чтобы стереть все признаки заражения. Бэкдор PowerShell тщательно маскирует свое происхождение, используя арифметическое кодирование строк, восстановление строк во время выполнения и выполнение окончательной логики с помощью «вызываемого выражения»

По словам исследователей, вредоносная программа PowerShell указывает на разработку с помощью ИИ, а не на создание вредоносного ПО традиционным способом. Доказательствами этого являются четкая и структурированная документация в начале скрипта, что крайне необычно для разработки вредоносного ПО. Кроме того, она имеет чистую и модульную структуру, а также наличие хештегов «# хакеры».

Исследователи CheckPoint предоставили подробную информацию о вредоносном ПО

Исследователи объяснили, что формулировка также показывает, что модель инструктирует пользователя о том, как настроить значение-заполнитель. Они отметили, что подобные комментарии часто встречаются в скриптах и ​​руководствах, созданных с помощью ИИ. Перед запуском вредоносная программа проводит проверку оборудования, программного обеспечения и активности пользователя, чтобы убедиться, что она не работает в средах анализа. После этого она генерирует уникальный идентификатор хоста. Затем она следует указанному пути действий.

После полной активации и запуска бэкдора на зараженном устройстве вредоносная программа периодически связывается с сервером управления и контроля (C2) для отправки метаданных хоста и опрашивает сервер через случайные промежутки времени. Если C2 содержит код PowerShell, он преобразуется в блок скрипта и выполняет свои действия с помощью фоновых задач. Компания CheckPoint отметила, что эти атаки можно отнести к северокорейской группировке Konni, судя по ранее использованному формату запуска и названию приманки.

Кроме того, исследователи утверждают, что помимо совпадения названий скриптов, в структуре цепочки выполнения есть и другие общие элементы с более ранними атаками. Исследователи также опубликовали индикаторы компрометации, связанные с этой недавней кампанией, чтобы помочь защитникам распознать, когда они подверглись атаке северокорейской кампании , и защитить свои активы.