Konni黑客利用人工智能惡意軟件攻擊區塊鏈工程師

據報道，朝鮮黑客組織Konni正利用人工智能生成的惡意軟件攻擊區塊鏈工程師。該組織目前正在部署人工智能生成的PowerShell惡意軟件，並以此攻擊區塊鏈行業的開發人員和工程師。.

據信，這個朝鮮黑客組織至少從2014年就開始活動，並與APT37和Kimusky活動集羣有關聯。該組織曾攻擊過遍佈韓國、烏克蘭、俄羅斯以及其他幾個歐洲國家的組織。根據CheckPoint研究人員分析的威脅樣本，該朝鮮組織的最新攻擊活動針對的是亞太地區。

朝鮮康尼組織部署人工智能生成的惡意軟件

報告稱，軟件由來自日本、印度和澳大利亞的用戶提交。攻擊始於受害者收到一個 Discord 鏈接，該鏈接會提供一個 ZIP 壓縮包，其中包含一個 PDF 誘餌文件和一個惡意 LNK 快捷方式文件。該 LNK 文件運行一個嵌入式 PowerShell 加載器，該加載器會trac一個 DOCX 文檔和一個 CAB 壓縮包，後者包含一個 PowerShell 後門、兩個批處理文件和一個 UAC 繞過可執行文件。

快捷方式文件啓動後，DOCX 文件會打開並執行 cab 文件中包含的批處理文件。誘餌 DOCX 文檔顯示，黑客意圖入侵開發環境，從而獲取敏感資產的訪問權限，包括基礎設施、APIdent、錢包訪問權限以及最終的數字資產。第一個批處理文件會創建一個用於存放後門的暫存目錄，第二個批處理文件則會執行後續操作。.

此外，它還會創建一個每小時運行一次的計劃任務，該任務模擬 OneDrive 的啓動任務。該任務從磁盤讀取一個經過 XOR 加密的 PowerShell 腳本，並將其解密後在內存中執行。完成所有這些步驟後，它會自行刪除，以清除所有感染痕跡。該 PowerShell 後門程序利用基於算術的字符串編碼、運行時字符串重構以及使用“Invoked-Expression”執行最終邏輯等技術，極大地掩蓋了其來源。

研究人員指出，該 PowerShell 惡意軟件表明其開發並非傳統意義上的惡意軟件，而是人工智能輔助開發的產物。證據包括腳本頂部清晰且結構化的文檔，這在惡意軟件開發中極爲罕見。此外，該腳本佈局簡潔模塊化，文件中還包含“# <– 您的永久項目 UUID”註釋。CheckPoint 指出，這種措辭表明該代碼是由朝鮮黑客。

CheckPoint 的研究人員詳細介紹了該惡意軟件。

研究人員解釋說，這種措辭也表明該模型會指導用戶如何自定義佔位符值。他們表示，此類註釋在人工智能生成的腳本和教程中很常見。惡意軟件在執行前會檢查硬件、軟件和用戶活動，以確保其未在分析環境中運行。一旦確認這一點，它就會生成一個唯一的主機 ID。之後，它會按照預設的路徑執行操作。.

一旦後門完全激活並在受感染的設備上運行，惡意軟件會定期聯繫命令與控制 (C2) 服務器以發送主機元數據，並隨機輪詢服務器。如果 C2 服務器包含 PowerShell 代碼，它會被轉換爲腳本塊，並通過後臺作業執行其活動。CheckPoint 指出，根據早期的啓動器格式和誘餌名稱，這些攻擊可以歸因於朝鮮的 Konni 威脅組織。.

此外，研究人員聲稱，除了腳本名稱重疊外，此次攻擊的執行鏈結構與其他早期攻擊存在其他共同之處。研究人員還公佈了與此次攻擊活動相關的入侵指標，以幫助防禦者識別何時遭受朝鮮 Konni 攻擊，從而保護其資產。

最聰明的加密貨幣人士已經閱讀了我們的新聞通訊。想加入嗎？加入我們吧。