НАЗАД К НОВОСТЯМ
Срочные новостиВысокий

Konni APT использует ИИ-сгенерированный PowerShell-бэкдор в атаках на блокчейн-сектор

3 мин чтенияИсточник: The Hacker News

Северокорейская хакерская группа Konni применяет ИИ-сгенерированное вредоносное ПО на базе PowerShell в фишинговой кампании против разработчиков блокчейна. Узнайте о тактиках, рисках и мерах защиты.

Konni APT расширяет географию атак с помощью ИИ-сгенерированного PowerShell-бэкдора

Северокорейская хакерская группа Konni, относящаяся к категории advanced persistent threat (APT), была замечена в использовании ИИ-сгенерированного вредоносного ПО на базе PowerShell в фишинговой кампании, направленной на разработчиков блокчейна и инженерные команды. Кампания, обнаруженная исследователями компании Check Point, свидетельствует о расширении географического охвата угрозы за пределы традиционных целей группы — Южной Кореи, России, Украины и европейских стран — на Японию, Австралию и Индию.

Технические детали

В последней операции Konni используются бэкдоры на базе PowerShell, которые, как подозревают эксперты, были сгенерированы или оптимизированы с помощью инструментов искусственного интеллекта. Хотя точная модель или метод ИИ остаются не подтвержденными, вредоносное ПО демонстрирует характеристики, соответствующие автоматизированной генерации кода, включая:

  • Полиморфные скрипты для уклонения от сигнатурного обнаружения;
  • Методы обфускации, затрудняющие статический анализ;
  • Модульную доставку полезной нагрузки, обеспечивающую динамическую функциональность после заражения.

Цепочка атаки начинается с таргетированных фишинговых писем, адаптированных под специалистов в сфере блокчейна. Письма часто маскируются под легитимные обновления проектов, запросы на сотрудничество или техническую документацию. После выполнения PowerShell-скрипт обеспечивает персистентность и устанавливает связь с командным центром (C2), что позволяет осуществлять эксфильтрацию данных, латеральное перемещение или загрузку дополнительных вредоносных модулей.

Анализ последствий

Смещение фокуса атак на разработчиков блокчейна соответствует более широкой киберпреступной стратегии Северной Кореи, которая нацелена на финансовую выгоду через кражу криптовалют, атаки на цепочки поставок и шпионаж. Использование ИИ-сгенерированного вредоносного ПО создает ряд рисков для защитников:

  • Снижение эффективности обнаружения: вариативность кода, созданного с помощью ИИ, усложняет работу традиционных сигнатурных систем защиты;
  • Ускоренная разработка атак: злоумышленники могут быстро создавать новые варианты вредоносного ПО, увеличивая темп операций;
  • Снижение порога входа: менее квалифицированные злоумышленники могут использовать ИИ-инструменты для повышения своих возможностей.

Расширение Konni на Японию, Австралию и Индию указывает на целенаправленные усилия по эксплуатации растущих блокчейн-экосистем в этих регионах, где нормативно-правовые базы и меры кибербезопасности могут находиться на стадии становления.

Рекомендации

Командам кибербезопасности в блокчейн-секторе и целевых регионах следует уделить первоочередное внимание следующим мерам защиты:

  1. Усиление защиты от фишинга

    • Внедрить решения для фильтрации электронной почты с обнаружением аномалий на базе ИИ;
    • Проводить регулярные тренинги по фишингу для инженерных и разработческих команд.

  2. Мониторинг активности PowerShell

    • Ограничить выполнение PowerShell только подписанными скриптами, где это возможно;
    • Реализовать логирование и поведенческий анализ команд PowerShell.

  3. Улучшение обнаружения угроз

    • Использовать инструменты EDR (Endpoint Detection and Response) для выявления необычного выполнения процессов;
    • Отслеживать шаблоны C2-коммуникаций, связанные с инфраструктурой Konni.

  4. Защита сред разработки

    • Применять принцип минимальных привилегий для инструментов разработки блокчейна и репозиториев;
    • Проводить аудит сторонних зависимостей на предмет рисков в цепочке поставок.

Поделиться

TwitterLinkedIn