Konni黑客利用人工智能构建的恶意软件攻击区块链工程师。
Konni黑客利用人工智能构建的恶意软件攻击区块链工程师。
朝鲜黑客组织 Konni(Opal Sleet,TA406)正在使用人工智能生成的 PowerShell 恶意软件攻击区块链领域的开发人员和工程师。
据信与 APT37 和 Kimsuky 活动集群有关,Konni 至少从 2014 年起就一直很活跃,并被发现以 韩国、俄罗斯、乌克兰和欧洲各国的组织为目标。
根据 Check Point 研究人员分析的样本,该威胁行为者的最新攻击活动主要针对亚太地区的目标,因为该恶意软件是从日本、澳大利亚和印度提交的。
攻击始于受害者收到一个 Discord 托管的链接,该链接会提供一个 ZIP 压缩包,其中包含一个 PDF 诱饵文件和一个恶意 LNK 快捷方式文件。
LNK 运行一个嵌入式 PowerShell 加载器,该加载器提取一个 DOCX 文档和一个 CAB 归档文件,其中包含 PowerShell 后门、两个批处理文件和一个 UAC 绕过可执行文件。
启动快捷方式文件会导致 DOCX 文件打开并执行 cab 文件中包含的一个批处理文件。
该诱饵 DOCX 文档表明,黑客想要入侵开发环境,这可能会让他们“获得敏感资产的访问权限,包括基础设施、API 凭证、钱包访问权限,并最终获得加密货币资产”。
第一个批处理文件为后门创建一个暂存目录,第二个批处理文件创建一个每小时运行一次的计划任务,伪装成 OneDrive 启动任务。
此任务从磁盘读取一个经过 XOR 加密的 PowerShell 脚本,并将其解密以便在内存中执行。最后,它会删除自身以清除感染痕迹。
人工智能生成的后门
PowerShell 后门本身经过了高度混淆,使用了基于算术的字符串编码、运行时字符串重构,并通过“Invoke-Expression”执行最终逻辑。
研究人员表示,PowerShell恶意软件“强烈表明它是人工智能辅助开发的,而不是传统的由操作员编写的恶意软件”。
得出此结论的证据包括脚本顶部清晰、结构化的文档(这在恶意软件开发中并不常见);其模块化、简洁的布局;以及“# <– 您的永久项目 UUID”注释的存在。
Check Point 解释说:“这种措辞是 LLM 生成的代码的典型特征,其中模型明确地指导人类用户如何自定义占位符值。”
“这类评论在人工智能生成的脚本和教程中很常见。”
在执行之前,恶意软件会执行硬件、软件和用户活动检查,以确保它不是在分析环境中运行,然后生成一个唯一的主机 ID。
接下来,根据它在受感染主机上拥有的执行权限,它会按照下图所示的不同路径执行操作。
一旦后门在受感染的设备上完全运行,它就会定期联系命令与控制 (C2) 服务器以发送基本主机元数据,并按随机间隔轮询服务器。
如果 C2 响应包含 PowerShell 代码,它会将其转换为脚本块,并通过后台作业异步执行。
Check Point 根据早期的启动器格式、诱饵文件名和脚本名称的重叠以及与早期攻击的执行链结构的共性,将这些攻击归因于 Konni 威胁行为者。
研究人员发布了与此次攻击相关的入侵指标(IoC),以帮助防御者保护其资产。
据信与 APT37 和 Kimsuky 活动集群有关,Konni 至少从 2014 年起就一直很活跃,并被发现以 韩国、俄罗斯、乌克兰和欧洲各国的组织为目标。
根据 Check Point 研究人员分析的样本,该威胁行为者的最新攻击活动主要针对亚太地区的目标,因为该恶意软件是从日本、澳大利亚和印度提交的。
攻击始于受害者收到一个 Discord 托管的链接,该链接会提供一个 ZIP 压缩包,其中包含一个 PDF 诱饵文件和一个恶意 LNK 快捷方式文件。
LNK 运行一个嵌入式 PowerShell 加载器,该加载器提取一个 DOCX 文档和一个 CAB 归档文件,其中包含 PowerShell 后门、两个批处理文件和一个 UAC 绕过可执行文件。
启动快捷方式文件会导致 DOCX 文件打开并执行 cab 文件中包含的一个批处理文件。
该诱饵 DOCX 文档表明,黑客想要入侵开发环境,这可能会让他们“获得敏感资产的访问权限,包括基础设施、API 凭证、钱包访问权限,并最终获得加密货币资产”。
第一个批处理文件为后门创建一个暂存目录,第二个批处理文件创建一个每小时运行一次的计划任务,伪装成 OneDrive 启动任务。
此任务从磁盘读取一个经过 XOR 加密的 PowerShell 脚本,并将其解密以便在内存中执行。最后,它会删除自身以清除感染痕迹。
人工智能生成的后门
PowerShell 后门本身经过了高度混淆,使用了基于算术的字符串编码、运行时字符串重构,并通过“Invoke-Expression”执行最终逻辑。
研究人员表示,PowerShell恶意软件“强烈表明它是人工智能辅助开发的,而不是传统的由操作员编写的恶意软件”。
得出此结论的证据包括脚本顶部清晰、结构化的文档(这在恶意软件开发中并不常见);其模块化、简洁的布局;以及“# <– 您的永久项目 UUID”注释的存在。
Check Point 解释说:“这种措辞是 LLM 生成的代码的典型特征,其中模型明确地指导人类用户如何自定义占位符值。”
“这类评论在人工智能生成的脚本和教程中很常见。”
在执行之前,恶意软件会执行硬件、软件和用户活动检查,以确保它不是在分析环境中运行,然后生成一个唯一的主机 ID。
接下来,根据它在受感染主机上拥有的执行权限,它会按照下图所示的不同路径执行操作。
一旦后门在受感染的设备上完全运行,它就会定期联系命令与控制 (C2) 服务器以发送基本主机元数据,并按随机间隔轮询服务器。
如果 C2 响应包含 PowerShell 代码,它会将其转换为脚本块,并通过后台作业异步执行。
Check Point 根据早期的启动器格式、诱饵文件名和脚本名称的重叠以及与早期攻击的执行链结构的共性,将这些攻击归因于 Konni 威胁行为者。
研究人员发布了与此次攻击相关的入侵指标(IoC),以帮助防御者保护其资产。
关于作者
评论0次