مهندسان بلاک‌چین هدف جدید هکرهای کره شمالی

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان معتقدند که گروه هکری کانی (Konni) متعلق به کره شمالی از بدافزار پاورشِل (PowerShell) تولید شده توسط هوش مصنوعی برای هدف قرار دادن توسعه‌دهندگان و مهندسان در بخش بلاک‌چین استفاده کرد.

کانی که گمان می‌رود با گروه‌های هکری «APT37» و «Kimsuky» مرتبط باشد، حداقل از سال ۲۰۱۴ فعال بوده و سازمان‌هایی را در کره جنوبی، روسیه، اوکراین و کشورهای مختلف اروپایی هدف قرار داده است.

براساس نمونه‌های به دست آمده از شرکت امنیت سایبری چک پوینت (Check Point)، آخرین کمپین این عامل تهدید بر اهدافی در منطقه آسیا و اقیانوسیه متمرکز است، زیرا این بدافزار از ژاپن، استرالیا و هند ارسال شده است.

حمله با دریافت یک لینک میزبانی شده توسط دیسکورد (Discord) توسط قربانی آغاز می‌شود که یک آرشیو زیپ حاوی یک فایل پی‌دی‌اف و یک فایل میانبر مخرب «LNK» را ارائه می‌دهد.

LNK یک بارگذار پاورشِل تعبیه شده را اجرا می‌کند که یک سند «DOCX» و یک آرشیو «CAB» حاوی یک در پشتی پاورشِل، دو فایل دسته‌ای و یک فایل اجرایی دور زدن «UAC» را استخراج می‌کند.

اجرای فایل میانبر باعث می‌شود DOCX باز شود و یک فایل دسته‌ای موجود در فایل «cabinet» را اجرا کند. سند DOCX فریبکارانه نشان می‌دهد که هکرها می‌خواهند محیط‌های توسعه را به خطر بیندازند که می‌تواند به آنها دسترسی به دارایی‌های حساس، از جمله زیرساخت‌ها، اعتبارنامه‌های رابط برنامه‌نویسی کاربردی (API)، دسترسی به کیف پول و در نهایت دارایی‌های ارز دیجیتال را فراهم کند.

فایل دسته‌ای اول یک دایرکتوری مرحله‌بندی برای «backdoor» و فایل دسته‌ای دوم و یک وظیفه برنامه‌ریزی‌شده ساعتی را ایجاد می‌کند که به عنوان یک وظیفه راه‌اندازی «OneDrive» ظاهر می‌شود.

این وظیفه یک اسکریپت پاورشِل رمزگذاری شده با «XOR» را از دیسک می‌خواند و آن را برای اجرا در حافظه رمزگشایی می‌کند. در نهایت، خود را حذف می‌کند تا علائم آلودگی را پاک کند.

backdoor تولید شده توسط هوش مصنوعی

backdoor PowerShell به شدت با استفاده از رمزگذاری رشته مبتنی بر محاسبات، بازسازی رشته در زمان اجرا و اجرای منطق نهایی از طریق «Invoke-Expression» مبهم‌سازی شده است.

محققان براین باورند که بدافزار پاورشِل نشان می‌دهد که توسعه با کمک هوش مصنوعی به جای بدافزار سنتی نوشته شده توسط اپراتور است.

شواهدی که منجر به این نتیجه‌گیری می‌شود شامل مستندات واضح و ساختاریافته در بالای اسکریپت، غیرمعمول برای توسعه بدافزار، است؛

چک پوینت توضیح داد:

«این عبارت‌بندی کاملاً مشخصه کد تولید شده توسط مدب زبانی بزرگ (LLM) است، جایی که مدل به صراحت به کاربر انسانی نحوه سفارشی‌سازی یک مقدار نگهدارنده را آموزش می‌دهد. چنین نظراتی معمولاً در اسکریپت‌ها و آموزش‌های تولید شده توسط هوش مصنوعی مشاهده می‌شوند.»

قبل از اجرا، بدافزار بررسی‌های سخت‌افزاری، نرم‌افزاری و فعالیت کاربر را انجام می‌دهد تا مطمئن شود که در محیط‌های تحلیلی اجرا نمی‌شود و سپس یک شناسه میزبان منحصر به فرد تولید می‌کند.

در مرحله بعد، بسته به اینکه چه امتیازات اجرایی روی میزبان آسیب‌دیده دارد، مسیر عمل جداگانه‌ای را دنبال می‌کند.

هنگامی که درب پشتی به طور کامل روی دستگاه آلوده اجرا می‌شود، به صورت دوره‌ای با سرور فرماندهی و کنترل (C2) تماس می‌گیرد تا فراداده‌های اولیه میزبان را ارسال کند و در فواصل تصادفی از سرور نظرسنجی می‌کند.

اگر پاسخ سرور فرماندهی و کنترل حاوی کد پاورشِل باشد، آن را به یک بلوک اسکریپت تبدیل و به صورت ناهمزمان از طریق کارهای پس‌زمینه اجرا می‌کند.

شرکت امنیت سایبری چک پوینت این حملات را طبق قالب‌های لانچرهای قبلی، همپوشانی نام فایل و نام اسکریپت لور و اشتراکات در ساختار زنجیره اجرا با حملات قبلی، به عامل تهدید کانی نسبت می‌دهد.

محققان شاخص‌های نفوذ (IoC) مرتبط با این کمپین اخیر را منتشر کرده‌اند تا به مدافعان در محافظت از دارایی‌هایشان کمک کنند.