ru
Назад к списку

Северокорейские хакеры Konni используют вредоносное ПО, созданное ИИ, чтобы нацелиться на разработчиков

source-logo  coinedition.com 2 ч
image
  • Konni — это северокорейская передовая группа устойчивых угроз, действующая уже десять лет.
  • Их взлом начинается с сообщения в Discord с ссылкой на обманчивый архив ZIP.
  • Исследователи отмечают, что вирус явно сгенерирован ИИ.

Исследователи в области кибербезопасности подняли тревогу по поводу сложной новой схемы вредоносного ПО. Связанная с Северной Кореей хакерская группа Konni (также известная как Opal Sleet и TA406) использует вредоносное ПО PowerShell, созданное ИИ, для прямого атака на разработчиков и инженеров блокчейна.

Konni — это северокорейская группа передовых постоянных угроз (APT), которая действует как минимум десять лет. Хотя их цели находятся в регионах Южной Кореи, России, Украины и Европы, в список также добавлен Азиатско-Тихоокеанский регион.

Группа связана с другими кибергруппами КНДР, такими как APT37 и Kimsuky, и имеет репутацию кражи денег и секретов у банков, финансовых систем и технологических компаний.

Как работает хак

Эксперты, включая исследователей из Check Point, опубликовали подробные отчёты, объясняющие, как работает взлом Konni шаг за шагом.

Взлом начинается с сообщения в Discord с ссылкой. При нажатии на него можно загрузить сжатый файл, который выглядит легитимно, содержащий как PDF-фальшивку, так и вредоносный файл ярлыков Windows.

Связано: Хакеры использовали выплату GANA на сумму 3,1 миллиона долларов на сети BSC

Открытие файла ярлыка запускает загрузчик PowerShell, который распаковывает новые файлы. Среди них — поддельный документ DOCX и архив кабинета (CAB), содержащий бэкдор PowerShell, пакетные скрипты и исполняемый файл, предназначенный для обхода User Account Control (UAC). Это позволяет вирусу оставаться установленным на компьютере жертвы.

Исследователи отмечают, что вирус явно сгенерирован ИИ. Его код построен отдельными блоками, содержит необычайно аккуратные комментарии и использует странный временный текст, что отличает его от типичного вредоносного ПО, написанного человеком.

Вредоносное ПО устанавливает автоматическую почасовую задачу, замаскированную под задачу запуска OneDrive. Это тайно разблокирует и запускает команду PowerShell в памяти компьютера. После запуска вредоносной части программы она очищает некоторые собственные файлы, чтобы скрыть следы.

Цель на блокчейн-разработчиках

В отличие от типичных взломов, нацеленных на случайных пользователей, эта атака направлена непосредственно на разработчиков программного обеспечения и инженеров, создающих криптоплатформы. Эти люди часто имеют доступ к API-ключам, исходному коду и частным кошелькам.

Если они будут взломаны, они могут дать злоумышленникам контроль над важными приложениями и большими объемами криптовалюты. Исследователи заметили, что эта кампания в основном поражает цели в Японии, Австралии и Индии, что показывает, что хакеры намеренно атакуются на новые регионы.

Связано: Суровое предупреждение CZ: один клик по фейковой ссылке поддержки может привести к потоплению криптобиржи

coinedition.com