Даже северокорейским хакерам лень писать код. Теперь за них это делает нейросеть
NewsMakerКажется, эпоха ручного цифрового шпионажа подошла к концу.
Хакерская группа KONNI, связанная с КНДР, расширила географию своей активности и внедрила генеративные технологии для создания вредоносного кода. Исследование Check Point Research показало , что атака нацелена на разработчиков и инженерные команды, связанные с блокчейн-проектами . Среди затронутых регионов — Япония, Австралия и Индия, что говорит о выходе за пределы традиционной для группы зоны интересов.
Атакующие используют документы, маскирующиеся под проектную документацию с описанием архитектуры, технических стеков, сроков реализации и бюджетов. Основная цель — получить доступ к критически важной информации и инфраструктуре: API-ключам, кошелькам и другим активам, связанным с криптовалютами .
Начало заражения связано с загрузкой ZIP-архива по ссылке с Discord. Внутри архива — PDF-документ и ярлык LNK, при запуске которого в систему внедряется PowerShell-загрузчик . Он извлекает DOCX-документ и CAB-архив, содержащие основные вредоносные компоненты, включая скрипт на PowerShell, два BAT-файла и исполняемый файл для обхода контроля учётных записей.
Один из BAT-скриптов создаёт скрытую папку в системной директории, куда перемещает полезную нагрузку. Затем создаётся поддельное задание планировщика, маскирующееся под задачу OneDrive, которое каждые 60 минут запускает зашифрованный PowerShell-скрипт. Он расшифровывается в памяти и немедленно выполняется, а следы запуска стираются.
Хакерская группа KONNI, связанная с КНДР, расширила географию своей активности и внедрила генеративные технологии для создания вредоносного кода. Исследование Check Point Research показало , что атака нацелена на разработчиков и инженерные команды, связанные с блокчейн-проектами . Среди затронутых регионов — Япония, Австралия и Индия, что говорит о выходе за пределы традиционной для группы зоны интересов.
Атакующие используют документы, маскирующиеся под проектную документацию с описанием архитектуры, технических стеков, сроков реализации и бюджетов. Основная цель — получить доступ к критически важной информации и инфраструктуре: API-ключам, кошелькам и другим активам, связанным с криптовалютами .
Начало заражения связано с загрузкой ZIP-архива по ссылке с Discord. Внутри архива — PDF-документ и ярлык LNK, при запуске которого в систему внедряется PowerShell-загрузчик . Он извлекает DOCX-документ и CAB-архив, содержащие основные вредоносные компоненты, включая скрипт на PowerShell, два BAT-файла и исполняемый файл для обхода контроля учётных записей.
Один из BAT-скриптов создаёт скрытую папку в системной директории, куда перемещает полезную нагрузку. Затем создаётся поддельное задание планировщика, маскирующееся под задачу OneDrive, которое каждые 60 минут запускает зашифрованный PowerShell-скрипт. Он расшифровывается в памяти и немедленно выполняется, а следы запуска стираются.