Wygląda jak normalna dokumentacja techniczna – ma architekturę, stack, harmonogram, a czasem choćby budżet. To jednak nie projekt IT, a zwykły wabik, stworzony przez AI na potrzeby północnokoreańskich cyberprzestępców z grupy KONNI. Tak hakerzy atakują nowe cele: programistów działających w obszarze technologii blockchain i kryptowalut – ujawniają eksperci Check Point Research.
Nowa kampania phishingowa to wyraźne odejście od typowych celów grupy KONNI, czyli dyplomatów, administracji państwowej i NGOs. Tym razem na celowniku są zespoły inżynieryjne i deweloperzy pracujący przy blockchainie i kryptowalutach. Dlaczego? Wg stojących za okryciem specjalistów Check Point Research wystarczy jedno przejęte konto albo skażone środowisko dev, by uruchomić efekt domina w całym ekosystemie.
Szczególnie narażony na ataki ma być region APAC (m.in. Japonia, Australia, Indie), więc jest to wyjście poza „klasyczną” geograficzną strefę rażenia KONNI.
Discord, ZIP i skrót, który uruchamia łańcuch infekcji
Scenariusz jest sprytnie „zwyczajny” – link (m.in. hostowany na Discordzie) prowadzi do pliku ZIP, w środku jest PDF-przynęta i plik skrótu LNK. Kliknięcie skrótu odpala loader PowerShell, który wyciąga kolejne elementy (m.in. CAB), zakłada katalog w C:\ProgramData, a potem utrwala się w systemie. Całość jest maskowana jako zadanie Harmonogramu zadań udające OneDrive i uruchamiana cyklicznie.
Potem robi się poważniej, bowiem backdoor zawiera kontrole anty-analizowe i anty-sandboxowe (m.in. sprawdzanie narzędzi typu Wireshark/Procmon/IDA, progi sprzętowe, a choćby warunek interakcji użytkownika), a następnie zbiera odcisk cyfrowy urządzenia i komunikuje się z serwerem C2, który jest dodatkowo chroniony mechanizmem utrudniającym automatyczną analizę ruchu.
Badacze Check Point Research wskazują na cechy nietypowe dla klasycznego złośliwego PowerShella. Struktura jest „zbyt schludna”, pojawiają się sekcje jak w normalnym projekcie i komentarze-instrukcje. W kodzie pojawia się choćby charakterystyczny zwrot w stylu: „tu wstaw swój stały UUID projektu”. Brzmi ro jak podpowiedź wygenerowana dla człowieka, który ma tylko wkleić wartość i uruchomić „gotowca”. To mocny sygnał, iż AI nie jest już tylko inspiracją dla atakujących, ale realnym akceleratorem ich produkcji.
– Kampania pokazuje, jak sztuczna inteligencja w bardzo praktyczny sposób przekształca krajobraz cyberzagrożeń. Gdy atakujący celują w deweloperów tworzących platformy blockchain i rozwiązania chmurowe, chodzi im o dostęp do całego systemu, a nie tylko o przejęcie pojedynczej ofiary. Aby wyprzedzać zagrożenia, organizacje muszą traktować środowiska deweloperskie jak zasoby o najwyższej wartości i wykorzystywać prewencję opartą na AI, by zatrzymywać ataki, zanim zdążą się rozprzestrzenić – mówi Sergey Shykevich, Threat Intelligence Group Manager w Check Point Software.
Działania KONNI pokazują, iż najbardziej zaawansowane grupy nie poprzestają już na klasycznym phishingu, a coraz częściej włączają narzędzia AI w sam łańcuch ataku. Efekt to operacje bardziej zautomatyzowane, precyzyjniej ukierunkowane i znacznie trudniejsze do wykrycia. Dla organizacji rozwijających oprogramowanie, zwłaszcza w branżach podwyższonego ryzyka, takich jak blockchain czy fintech, oznacza to jedno – bezpieczeństwo środowisk i procesów deweloperskich musi być traktowane na równi z ochroną systemów produkcyjnych.
Co powinni zrobić administratorzy i zespoły dev? Po pierwsze zablokować ryzykowne typy plików i wektory w kanałach współpracy (LNK/skrót, archiwa z „dokumentacją projektu”, nietypowe linki do ZIP). Po drugie powinni monitorować tworzenie zadań Harmonogramu podszywających się pod popularne aplikacje (np. OneDrive) i uruchamianych cyklicznie. Dodatkowo należy wzmocnić ochronę stacji deweloperskich: MFA, twarde zasady dla tokenów/API, segmentacja dostępu do repozytoriów i sekretów. I na koniec traktować dokumentację „projektów blockchain” jako obszar podwyższonego ryzyka, zwłaszcza gdy przychodzi „z polecenia” i wymaga kliknięcia w załączone skróty/archiwa.
