Хакеры KONNI начали использовать ИИ для создания вредоносного ПО
3 мин
40
2
Специалисты Check Point Research зафиксировали новую кампанию хакерской группировки KONNI, которая работает как минимум с 2014 года и раньше стабильно атаковала южнокорейских дипломатов, чиновников, НПО и учебные заведения. По словам экспертов, KONNI расширила географию атак. Образцы вредоноса группировки нашли в Японии, Австралии и Индии. Также сместился фокус атаки: хакеры начали охотиться на разработчиков и инженеров, которые работают с блокчейном.
Атака начинается через фишинговую ссылку на Discord, которая ведёт на ZIP-архив. Внутри него содержатся PDF и ярлык Windows. Приманки выглядят как техническая документация по блокчейн-проектам: архитектура, стеки технологий, сроки, бюджеты. Когда жертва кликает по ярлыку, запускается PowerShell-загрузчик. Он извлекает DOCX-документ и CAB-архив. Оба зашифрованы простым XOR с ключом из одного символа. Документ открывается для отвлечения внимания, а архив распаковывается в фоновом режиме.
Внутри CAB-архива лежат PowerShell-бэкдор, два пакетных файла и утилита для обхода UAC. Первый файл создаёт папку в системной директории, перемещает туда компоненты и ставит запланированную задачу под видом службы OneDrive. Задача запускается каждый час, расшифровывает бэкдор ключом Q и выполняет его прямо в памяти. В конце файл удаляет себя с диска.
Сам бэкдор зашифрован через арифметическое кодирование — каждая строка собирается из чисел, которые превращаются в символы только при выполнении. В коде есть подробная документация и комментарии в стиле «вставьте сюда ваш постоянный UUID проекта».
Такие фразы типичны для кода, который генерируют языковые модели. Также код разбит на чёткие логические блоки — это больше похоже на профессиональную разработку, чем на типичный APT-инструментарий.
Исследователи уверены, что бэкдор написан с помощью ИИ. Перед началом работы вредонос проверяет окружение: ищет IDA, Wireshark, Procmon и другие инструменты анализа. Он также следит за движениями мыши и требует минимум кликов. Если что-то не так, работа вируса завершается. Если проблем нет, вредонос создаёт mutex для запуска в единственном экземпляре и собирает данные о системе: серийный номер материнской платы и системный UUID. Хеширует их через SHA-256 и использует первые 16 символов как идентификатор жертвы.
Дальше, если запущен как пользователь, он использует обход UAC через fodhelper.exe, меняя записи в реестре. Если уже как админ — чистит следы, добавляет системную папку в исключения Defender и переставляет задачу с повышенными правами. Если добрался до системных прав — устанавливает SimpleHelp, легальный RMM-инструмент для постоянного доступа.
Для связи с сервером управления бэкдор проходит JavaScript-проверку. Сам сервер защищён AES и режет запросы не от браузеров. Вредонос скачивает код шифрования с того же сайта, расшифровывает данные и получает токен. Дальше он регулярно отправляет метаданные: ID, уровень прав, IP, имя юзера. Сервер может вернуть PowerShell-команды, которые выполняются в фоне.
