Wprowadzenie do problemu / definicja
Wykorzystanie sztucznej inteligencji do tworzenia złośliwego systemu przestaje być jedynie teoretycznym scenariuszem. Przykład Slopoly pokazuje, iż modele językowe mogą już realnie wspierać cyberprzestępców w budowie nowych komponentów malware, skracając czas potrzebny do przygotowania i wdrożenia kampanii ransomware.
Slopoly to backdoor napisany w PowerShell, powiązany z aktywnością grupy Hive0163. Choć sam implant nie wyróżnia się wyjątkowo zaawansowaną konstrukcją, jego znaczenie polega na tym, iż najprawdopodobniej został wygenerowany lub istotnie rozwinięty przy wsparciu AI.
W skrócie
- Slopoly to backdoor PowerShell użyty w operacjach ransomware prowadzonych przez Hive0163.
- Malware zbiera podstawowe informacje o systemie, utrzymuje persystencję i komunikuje się z serwerem C2.
- Kampania rozpoczęła się od techniki ClickFix, a następnie obejmowała wdrożenie kolejnych narzędzi, takich jak NodeSnake, InterlockRAT i ransomware Interlock.
- Najważniejszym aspektem sprawy jest rosnące wykorzystanie AI do szybkiego tworzenia nowych narzędzi ofensywnych.
Kontekst / historia
Hive0163 to grupa cyberprzestępcza nastawiona finansowo, specjalizująca się w działaniach po uzyskaniu dostępu do środowiska ofiary. Jej aktywność obejmuje utrzymywanie obecności w infrastrukturze, eksfiltrację danych oraz końcowe wdrażanie ransomware.
W analizowanym incydencie początkowy dostęp został uzyskany przy użyciu ClickFix, czyli techniki socjotechnicznej skłaniającej użytkownika do manualnego uruchomienia złośliwego polecenia PowerShell. Taki mechanizm zwykle opiera się na fałszywych stronach imitujących weryfikację lub CAPTCHA, których celem jest przekonanie ofiary do wykonania komendy z niezweryfikowanego źródła.
Po przejęciu pierwszego punktu zaczepienia operatorzy wdrażali kolejne komponenty, które umożliwiały rozpoznanie środowiska, utrzymywanie trwałego dostępu oraz przygotowanie do wdrożenia ransomware. Slopoly pojawił się na późniejszym etapie łańcucha ataku, co sugeruje jego rolę jako dodatkowego narzędzia utrzymania kontroli nad systemem.
Analiza techniczna
Slopoly działa jako klient C2 oparty na PowerShell. Po uruchomieniu zbiera podstawowe informacje o systemie, takie jak nazwa hosta, nazwa użytkownika, publiczny adres IP oraz poziom uprawnień. Następnie przesyła te dane do infrastruktury sterującej w formie cyklicznych komunikatów typu heartbeat.
Malware regularnie odpytuje serwer C2 o nowe polecenia, wykonuje je lokalnie dzięki cmd.exe i odsyła wyniki operatorowi. Do utrzymania persystencji wykorzystuje zaplanowane zadanie, a dodatkowo zapisuje lokalne logi swojej aktywności.
Z technicznego punktu widzenia nie jest to implant szczególnie zaawansowany. Nie wykazuje rzeczywistego polimorfizmu, mimo iż komentarze w kodzie wskazują na takie ambicje. To właśnie rozbudowane komentarze, obsługa błędów, szczegółowe logowanie oraz sposób nazewnictwa zmiennych sprawiły, iż analitycy uznali go za przykład malware tworzonego przy wsparciu modelu językowego.
Sam Slopoly był jedynie częścią większego łańcucha ataku. We wcześniejszych etapach pojawił się NodeSnake, komponent oparty na Node.js, wykorzystywany jako element frameworka C2. Następnie wdrożono InterlockRAT, oferujący szerszy zestaw funkcji, w tym zdalne wykonywanie poleceń, reverse shell oraz tunelowanie SOCKS5.
W trakcie operacji wykorzystywano również legalne narzędzia administracyjne i pomocnicze, co wpisuje się w typowy scenariusz nowoczesnych kampanii ransomware. Finałowym etapem był ransomware Interlock, dostarczany przez loader JunkFiction. Oprogramowanie szyfruje dane z użyciem modelu hybrydowego, łączącego AES-GCM dla plików i RSA do zabezpieczania kluczy sesyjnych, a także pozostawia notę okupu i omija wybrane katalogi systemowe.
Konsekwencje / ryzyko
Największe ryzyko związane ze Slopoly nie wynika z przełomowej jakości jego kodu, ale z obniżenia bariery wejścia dla operatorów ransomware. jeżeli cyberprzestępcy mogą szybciej tworzyć nowe backdoory, loadery i moduły C2 przy wsparciu AI, cykl rozwoju ich narzędzi znacząco się skraca.
Dla organizacji oznacza to wzrost liczby krótkotrwałych i niestandardowych próbek malware, które nie posiadają jeszcze rozbudowanej historii w publicznych bazach wskaźników kompromitacji. Utrudnia to wykrywanie oparte wyłącznie na sygnaturach, hashach i statycznych cechach kodu.
Dodatkowym problemem jest możliwość szybkiego dostosowywania takich narzędzi do konkretnego środowiska ofiary. choćby relatywnie prosty implant może okazać się skuteczny, jeżeli zostanie osadzony w dobrze zaplanowanym łańcuchu ataku obejmującym socjotechnikę, persystencję, ruch lateralny, eksfiltrację i finalne szyfrowanie danych.
Istotne jest również to, iż podobne kampanie mogą pełnić funkcję poligonu testowego dla nowych technik wspieranych przez AI. Oznacza to, iż kolejne generacje takich narzędzi mogą gwałtownie dojrzewać i stawać się coraz trudniejsze do wykrycia.
Rekomendacje
Organizacje powinny wzmacniać detekcję behawioralną i korelacyjną, zamiast polegać wyłącznie na sygnaturach. W praktyce warto skupić się na kilku obszarach obrony.
- Ograniczanie skuteczności technik takich jak ClickFix poprzez szkolenia użytkowników i monitorowanie nietypowych uruchomień PowerShell.
- Wykrywanie persystencji opartej na Scheduled Tasks, zwłaszcza gdy nazwy zadań imitują legalne komponenty systemowe.
- Monitorowanie aktywności procesów takich jak PowerShell, cmd.exe, schtasks.exe i rundll32.exe, szczególnie gdy są uruchamiane z katalogów tymczasowych lub ProgramData.
- Analiza beaconingu HTTP/HTTPS oraz korelacja danych z EDR, DNS i proxy w celu identyfikowania komunikacji C2.
- Segmentacja sieci i kontrola ruchu wychodzącego, aby ograniczać ruch lateralny i eksfiltrację danych.
- Przygotowanie odporności na ransomware poprzez kopie zapasowe offline, testowane procedury odtworzeniowe i ochronę kont uprzywilejowanych.
Podsumowanie
Slopoly nie jest najbardziej zaawansowanym malware obserwowanym w kampaniach ransomware, ale jego znaczenie strategiczne jest duże. Pokazuje, iż grupy takie jak Hive0163 zaczynają operacyjnie wykorzystywać AI do szybkiego tworzenia i wdrażania nowych komponentów złośliwego oprogramowania.
Dla obrońców oznacza to konieczność obserwowania całego łańcucha ataku, od początkowej socjotechniki i persystencji, po komunikację C2, ruch lateralny i szyfrowanie danych. To właśnie tempo powstawania nowych wariantów malware, a nie tylko ich techniczna złożoność, może stać się jednym z najważniejszych wyzwań w kolejnej fazie ewolucji zagrożeń ransomware.