Konni黑客利用人工智能恶意软件攻击区块链工程师

据报道，朝鲜黑客组织Konni正利用人工智能生成的恶意软件攻击区块链工程师。该组织目前正在部署人工智能生成的PowerShell恶意软件，并以此攻击区块链行业的开发人员和工程师。.

据信，这个朝鲜黑客组织至少从2014年就开始活动，并与APT37和Kimusky活动集群有关联。该组织曾攻击过遍布韩国、乌克兰、俄罗斯以及其他几个欧洲国家的组织。根据CheckPoint研究人员分析的威胁样本，该朝鲜组织的最新攻击活动针对的是亚太地区。

朝鲜康尼组织部署人工智能生成的恶意软件

报告称，软件由来自日本、印度和澳大利亚的用户提交。攻击始于受害者收到一个 Discord 链接，该链接会提供一个 ZIP 压缩包，其中包含一个 PDF 诱饵文件和一个恶意 LNK 快捷方式文件。该 LNK 文件运行一个嵌入式 PowerShell 加载器，该加载器会trac一个 DOCX 文档和一个 CAB 压缩包，后者包含一个 PowerShell 后门、两个批处理文件和一个 UAC 绕过可执行文件。

快捷方式文件启动后，DOCX 文件会打开并执行 cab 文件中包含的批处理文件。诱饵 DOCX 文档显示，黑客意图入侵开发环境，从而获取敏感资产的访问权限，包括基础设施、APIdent、钱包访问权限以及最终的数字资产。第一个批处理文件会创建一个用于存放后门的暂存目录，第二个批处理文件则会执行后续操作。.

此外，它还会创建一个每小时运行一次的计划任务，该任务模拟 OneDrive 的启动任务。该任务从磁盘读取一个经过 XOR 加密的 PowerShell 脚本，并将其解密后在内存中执行。完成所有这些步骤后，它会自行删除，以清除所有感染痕迹。该 PowerShell 后门程序利用基于算术的字符串编码、运行时字符串重构以及使用“Invoked-Expression”执行最终逻辑等技术，极大地掩盖了其来源。

研究人员指出，该 PowerShell 恶意软件表明其开发并非传统意义上的恶意软件，而是人工智能辅助开发的产物。证据包括脚本顶部清晰且结构化的文档，这在恶意软件开发中极为罕见。此外，该脚本布局简洁模块化，文件中还包含“# <– 您的永久项目 UUID”注释。CheckPoint 指出，这种措辞表明该代码是由朝鲜黑客。

CheckPoint 的研究人员详细介绍了该恶意软件。

研究人员解释说，这种措辞也表明该模型会指导用户如何自定义占位符值。他们表示，此类注释在人工智能生成的脚本和教程中很常见。恶意软件在执行前会检查硬件、软件和用户活动，以确保其未在分析环境中运行。一旦确认这一点，它就会生成一个唯一的主机 ID。之后，它会按照预设的路径执行操作。.

一旦后门完全激活并在受感染的设备上运行，恶意软件会定期联系命令与控制 (C2) 服务器以发送主机元数据，并随机轮询服务器。如果 C2 服务器包含 PowerShell 代码，它会被转换为脚本块，并通过后台作业执行其活动。CheckPoint 指出，根据早期的启动器格式和诱饵名称，这些攻击可以归因于朝鲜的 Konni 威胁组织。.

此外，研究人员声称，除了脚本名称重叠外，此次攻击的执行链结构与其他早期攻击存在其他共同之处。研究人员还公布了与此次攻击活动相关的入侵指标，以帮助防御者识别何时遭受朝鲜 Konni 攻击，从而保护其资产。

最聪明的加密货币人士已经阅读了我们的新闻通讯。想加入吗？加入我们吧。