Северокорейская APT-группа KONNI использует ИИ для создания вредоносных программ

Исследователи компании Check Point Research (CPR) раскрыли новую фишинговую кампанию, связанную с угрозой, известной как KONNI, которую связывают с Северной Кореей. Операция демонстрирует значительную эволюцию группы: она выходит за пределы её традиционных географических и тематических фокусов и впервые включает бэкдор (программу для удаленного доступа), написанный с помощью искусственного интеллекта.

Описание

Группа KONNI, активная с 2014 года, традиционно известна таргетированными атаками на Южную Корею с использованием фишинговых документов на геополитические темы. Однако текущая кампания нацелена на разработчиков программного обеспечения и инженерные команды в Азиатско-Тихоокеанском регионе, включая Японию, Австралию и Индию. Приманки стилизованы под легитимную проектную документацию по технологиям блокчейн и криптовалютам. Такой выбор целей указывает на намерение злоумышленников получить доступ к критически важной инфраструктуре и криптоактивам.

Атака начинается со ссылки, размещенной на Discord, которая ведет к загрузке ZIP-архива. Внутри находятся PDF-документ-приманка и файл ярлыка Windows (LNK). При запуске LNK инициирует сложную цепочку заражения, используя встроенный PowerShell-загрузчик. В результате на диск извлекаются дополнительные файлы, включая документ DOCX для отвлечения внимания и CAB-архив с вредоносными компонентами.

Центральным элементом атаки является PowerShell-бэкдор с необычно четкой и модульной структурой. Скрипт содержит подробные комментарии, например, "# <- your permanent project UUID" ("ваш постоянный UUID проекта"), что является характерным признаком кода, сгенерированного большими языковыми моделями (LLM). Эксперты CPR отмечают, что такой стиль документации и структурирования нетипичен для рукописных вредоносных программ и явно указывает на использование ИИ. Это отражает растущий тренд среди киберпреступников, включая связанные с Северной Кореей группы, по внедрению искусственного интеллекта для автоматизации разработки инструментов.

Функциональность бэкдора включает комплексные проверки на анализ и песочницу, такие как поиск инструментов вроде IDA или Wireshark и мониторинг активности мыши. После успешного прохождения проверок скрипт создает уникальный идентификатор хоста на основе серийного номера материнской платы и системного UUID. Далее бэкдор оценивает уровень привилегий и в зависимости от результата либо пытается повысить их, используя технику обхода контроля учетных записей (UAC) через fodhelper.exe, либо выполняет дальнейшие действия.

При наличии прав администратора вредоносная программа добавляет исключение для папки "C:\ProgramData" в защитнике Windows и пересоздает задание в планировщике задач для обеспечения устойчивости (persistence). В случае работы с правами системы, бэкдор развертывает легитимный инструмент удаленного управления SimpleHelp, что указывает на стремление злоумышленников к долгосрочному интерактивному доступу.

Для связи с командным сервером (C2) бэкдор эмулирует JavaScript-вызов, чтобы обойти базовую защиту от небраузерного трафика. После аутентификации он периодически отправляет метаданные системы и ожидает команды, которые выполняет асинхронно. Команды могут включать произвольный код PowerShell, что предоставляет злоумышленникам широкие возможности на скомпрометированной системе.

Атрибуция кампании к группе KONNI основана на нескольких совпадениях тактик, техник и процедур (TTP). Использование специфических LNK-загрузчиков, модульная цепочка исполнения из VBS и BAT-скриптов, а также повторяющиеся имена файлов (например, "start.vbs" и "simi.bat") напрямую перекликаются с ранее задокументированными операциями этой APT-группы.

Таким образом, эта кампания иллюстрирует адаптацию зрелой группы угроз. С одной стороны, KONNI сохраняет проверенные методы доставки и социальной инженерии. С другой стороны, группа расширяет географию целей, фокусируясь на новых, финансово мотивированных секторах, и экспериментирует с современными инструментами разработки на базе искусственного интеллекта для создания более сложного и скрытного вредоносного кода.