Nhóm tin tặc Konni của Triều Tiên hiện đang nhắm mục tiêu vào các kỹ sư blockchain bằng phần mềm độc hại do trí tuệ nhân tạo tạo ra. Theo các báo cáo, nhóm tin tặc này hiện đang triển khai phần mềm độc hại PowerShell do AI tạo ra, sử dụng nó để nhắm mục tiêu vào các nhà phát triển và kỹ sư trong ngành công nghiệp blockchain.
Nhóm tin tặc Triều Tiên này được cho là đã hoạt động ít nhất từ năm 2014 và có liên hệ với các nhóm hoạt động APT37 và Kimusky. Nhóm này đã nhắm mục tiêu vào các tổ chức trải rộng khắp Hàn Quốc, Ukraine, Nga và một số quốc gia châu Âu khác. Theo mẫu tấn công được các nhà nghiên cứu của CheckPoint phân tích, chiến dịch mới nhất của nhóm Triều Tiên này nhắm vào khu vực châu Á - Thái Bình Dương.
Nhóm Konni của Triều Tiên triển khai phần mềm độc hại do trí tuệ nhân tạo tạo ra.
Trong báo cáo, các nhà nghiên cứu cho rằng phần mềm độc hại này được người dùng ở Nhật Bản, Ấn Độ và Úc gửi đến. Cuộc tấn công bắt đầu khi nạn nhân nhận được một liên kết Discord chứa một tệp lưu trữ ZIP có chứa một tệp PDF mồi nhử và một tệp tắt LNK độc hại. Tệp LNK chạy một trình tải PowerShell nhúng, trích xuất một tài liệu DOCX và một tệp lưu trữ CAB chứa cửa hậu PowerShell, hai tệp bó và một tệp thực thi vượt qua UAC.
Sau khi tệp tắt được khởi chạy, tệp DOCX sẽ mở và thực thi một tệp lệnh hàng loạt được bao gồm trong tệp cabinet. Tài liệu DOCX mồi nhử cho thấy tin tặc muốn xâm nhập môi trường phát triển, điều này có thể cung cấp cho chúng quyền truy cập vào các tài sản nhạy cảm, bao gồm cơ sở hạ tầng, thông tin đăng nhập API, quyền truy cập ví và cuối cùng là các tài sản kỹ thuật số đang nắm giữ. Tệp lệnh hàng loạt đầu tiên tạo một thư mục tạm thời cho cửa hậu và tệp lệnh hàng loạt thứ hai.
Ngoài ra, nó còn tạo ra một tác vụ được lên lịch hàng giờ, mô phỏng tác vụ khởi động của OneDrive. Tác vụ này đọc một kịch bản PowerShell được mã hóa XOR từ ổ đĩa và giải mã nó để thực thi trong bộ nhớ. Sau khi hoàn thành tất cả các bước này, nó sẽ tự xóa để loại bỏ mọi dấu hiệu nhiễm trùng. Phần mềm độc hại PowerShell này che giấu nguồn gốc của nó bằng cách sử dụng mã hóa chuỗi dựa trên số học, tái tạo chuỗi trong thời gian chạy và thực thi logic cuối cùng bằng cách sử dụng "Invoked-Expression".
Theo các nhà nghiên cứu, phần mềm độc hại PowerShell này cho thấy sự hiện diện của quá trình phát triển có sự hỗ trợ của trí tuệ nhân tạo chứ không phải là phần mềm độc hại được viết theo cách truyền thống. Bằng chứng cho thấy điều này bao gồm tài liệu rõ ràng và có cấu trúc ở đầu kịch bản, điều rất bất thường đối với việc phát triển phần mềm độc hại. Ngoài ra, nó có bố cục gọn gàng và theo mô-đun, và sự hiện diện của chú thích “# <– UUID dự án thường trực của bạn” trong tệp. CheckPoint lưu ý rằng cách diễn đạt này cho thấy dấu hiệu của mã được tạo ra bằng LLM bởi các hacker Triều Tiên.
Các nhà nghiên cứu của CheckPoint cung cấp thông tin chi tiết về phần mềm độc hại.
Các nhà nghiên cứu giải thích rằng cách diễn đạt này cũng cho thấy mô hình hướng dẫn người dùng tùy chỉnh giá trị giữ chỗ. Họ cho biết những nhận xét như vậy thường thấy trong các kịch bản và hướng dẫn do AI tạo ra. Trước khi thực thi, phần mềm độc hại thực hiện kiểm tra phần cứng, phần mềm và hoạt động của người dùng để đảm bảo rằng nó không chạy trong môi trường phân tích. Sau khi xác định được điều đó, nó sẽ tạo ra một ID máy chủ duy nhất. Sau đó, nó thực hiện theo một lộ trình hành động được chỉ định.
Sau khi phần mềm độc hại được kích hoạt hoàn toàn và hoạt động trên thiết bị bị nhiễm, nó sẽ liên lạc với máy chủ điều khiển (C2) định kỳ để gửi siêu dữ liệu của máy chủ và thăm dò máy chủ theo các khoảng thời gian ngẫu nhiên. Nếu máy chủ C2 chứa mã PowerShell, nó sẽ biến thành một khối lệnh và thực hiện các hoạt động của mình bằng cách sử dụng các tác vụ nền. CheckPoint lưu ý rằng các cuộc tấn công này có thể được quy cho nhóm tin tặc Konni của Triều Tiên dựa trên định dạng trình khởi chạy và tên mồi nhử trước đó.
Ngoài ra, các nhà nghiên cứu cho rằng ngoài việc trùng tên kịch bản, còn có những yếu tố chung khác trong cấu trúc chuỗi thực thi với các cuộc tấn công trước đó. Các nhà nghiên cứu cũng đã công bố các dấu hiệu xâm phạm liên quan đến chiến dịch gần đây này để giúp các nhà bảo mật nhận biết khi nào họ bị tấn công bởi chiến dịch Konni của Triều Tiên, từ đó có thể bảo vệ tài sản của mình.
