Появление «Slopoly»: первая волна ИИ-генерируемого вредоносного ПО в руках киберпреступников

Обнаруженный образец, получивший название «Slopoly», представляет собой клиентскую часть фреймворка для управления командным сервером. Он был развёрнут группой, отслеживаемой под обозначением Hive0163, которая специализируется на крупномасштабном хищении данных и последующих атаках вымогателями. Важно подчеркнуть, что сам по себе этот скрипт не является технически изощрённым. Скорее, его ценность заключается в том, что он стал вещественным доказательством начавшегося перехода: киберпреступные группировки начали массово осваивать генеративные ИИ для автоматизации разработки вредоносного ПО. Это смещает динамику угроз, заставляя индустрию информационной безопасности готовиться к эпохе «эфемерного» вредоносного ПО - одноразовых инструментов, которые можно создавать за считанные минуты.

Анализ кода «Slopoly» выявил характерные признаки генерации большими языковыми моделями. Скрипт написан на PowerShell и изобилует подробными комментариями, логированием и обработкой ошибок, что типично для ИИ-сгенерированного кода. При этом он является полностью функциональным бэкдором: собирает базовую информацию о системе и отправляет её на управляющий сервер в виде JSON-сообщений «сердцебиения», а также может выполнять команды, получаемые с сервера. Интересно, что в комментариях код описан как «Полиморфный клиент закрепления для C2», однако полиморфных свойств - то есть способности изменять собственный код при каждом выполнении - у него нет. Это несоответствие между заявлением и реальными возможностями также считается маркером ИИ-разработки. Специалисты X-Force отмечают, что именование переменных явно указывает на злонамеренное предназначение скрипта, что означает успешный обход защитных ограничений ИИ-модели, если таковые были установлены.

Группа Hive0163 использовала «Слополи» для поддержания доступа к скомпрометированному серверу более недели, уже после первоначального заражения. Сам инцидент начался с атаки «ClickFix» - техники социальной инженерии, когда жертву обманом заставляют выполнить вредоносный PowerShell-скрипт через диалоговое окно «Выполнить» в Windows. Это позволило злоумышленникам развернуть многоступенчатую цепочку заражения, включающую такие инструменты, как NodeSnake и InterlockRAT, и в итоге привести к шифрованию данных программой-вымогателем Interlock. Развёртывание относительно простого ИИ-сгенерированного бэкдора на поздних этапах атаки может указывать на то, что преступники тестировали его в реальных условиях, подобно учебным стрельбам.

С технической точки зрения «Slopoly» не представляет новой угрозы. Подобные бэкдоры существовали и создавались вручную годами. Однако фундаментальное изменение заключается в скорости и доступности разработки. То, на что раньше у квалифицированного злоумышленника могли уйти дни, теперь может быть сгенерировано за несколько минут с помощью бесплатного или общедоступного ИИ. Это действует как «силовой множитель» для атакующих, позволяя им быстрее адаптироваться, создавать больше вариантов вредоносного ПО и усложнять работу специалистов по анализу угроз. Атрибуция атак, которая часто опирается на уникальные стили кодирования и артефакты в вредоносном ПО, станет значительно сложнее, если каждый новый инструмент будет «одноразовым» и созданным по запросу.

Текущий случай с Hive0163 отражает лишь первую фазу новой гонки вооружений. Следующим логическим шагом станет использование агентного ИИ и вредоносного ПО, интегрированного с ИИ, когда модель сможет самостоятельно принимать решения на всех этапах цепочки атаки - от разведки до эксплуатации и перемещения по сети. Подобные технологии уже появляются в виде концептов или в арсенале хорошо финансируемых групп. По мере того как инструменты искусственного интеллекта становятся доступнее, риск их использования в деструктивных целях будет только расти. Защитникам необходимо уже сейчас переосмысливать парадигмы безопасности, делая ставку на превентивное обнаружение аномалий, усиление контроля за исполнением скриптов и постоянный мониторинг за появлением новых тактик, связанных с ИИ, в рамках таких структур, как MITRE ATT&CK. Битва вступает в новую эру, где преимущество будет определяться не только человеческим опытом, но и скоростью адаптации алгоритмов.

IPv4

• 172.86.68.64
• 23.227.203.123
• 77.42.75.119
• 94.156.181.89

Domains

• baseline-include-priority-bar.trycloudflare.com
• bits-promotions-turned-editions.trycloudflare.com
• bridal-custody-private-bodies.trycloudflare.com
• chronic-dividend-amendments-das.trycloudflare.com
• cigarette-assumed-biotechnology-checklist.trycloudflare.com
• coffee-lloyd-families-excluded.trycloudflare.com
• communist-flying-provision-calendar.trycloudflare.com
• corner-teacher-guam-characterization.trycloudflare.com
• describe-absent-operational-seventh.trycloudflare.com
• edinburgh-packaging-sense-idol.trycloudflare.com
• electrical-protect-molecular-underground.trycloudflare.com
• eugene-examinations-contained-timber.trycloudflare.com
• forget-canal-chancellor-mas.trycloudflare.com
• gzip-picked-istanbul-maple.trycloudflare.com
• jane-practitioner-lightning-preservation.trycloudflare.com
• lamp-voters-biodiversity-phillips.trycloudflare.com
• liverpool-patterns-lanes-specified.trycloudflare.com
• logan-practitioners-percent-cartridges.trycloudflare.com
• meet-noted-tax-qualification.trycloudflare.com
• misc-elliott-mouth-leading.trycloudflare.com
• module-source-tree-diverse.trycloudflare.com
• moore-cgi-pen-drove.trycloudflare.com
• offers-listing-screenshot-alpha.trycloudflare.com
• planners-mixing-edmonton-endless.trycloudflare.com
• playback-attributes-interviews-processing.trycloudflare.com
• plurfestivalgalaxy.com
• postal-ssl-converted-quantity.trycloudflare.com
• rpm-chicken-during-staying.trycloudflare.com
• safe-accepted-salem-early.trycloudflare.com
• screenshots-executive-joins-hammer.trycloudflare.com
• silk-lift-porter-correctly.trycloudflare.com
• specials-storm-height-warriors.trycloudflare.com
• wives-bufing-humans-prot.trycloudflare.com
• yen-hansen-cartoon-aims.trycloudflare.com

SHA256

• 0884e5590bdf3763f8529453fbd24ee46a3a460bba4c2da5b0141f5ec6a35675