北朝鮮のKonniグループ、ブロックチェーンエンジニアを標的としたAI生成マルウェアを展開

ソース：CryptoNewsNet オリジナルタイトル：北朝鮮ハッカー集団Konni、AIマルウェアでブロックチェーンエンジニアを標的に オリジナルリンク： 北朝鮮のハッカーグループKonniは、現在、人工知能生成のマルウェアを用いてブロックチェーンエンジニアを狙っています。報告によると、ハッカーグループはAI生成のPowerShellマルウェアを展開し、ブロックチェーン業界の開発者やエンジニアを標的にしています。

この北朝鮮のハッカーグループは、少なくとも2014年から活動していると考えられ、APT37やKimuskyの活動クラスターと関連付けられています。同グループは韓国、ウクライナ、ロシア、いくつかのヨーロッパ諸国の組織を標的にしています。脅威分析によると、最新のキャンペーンはアジア太平洋地域をターゲットにしています。

攻撃の仕組み

攻撃は、被害者がDiscordのリンクを受け取り、そのリンクからZIPアーカイブをダウンロードすることから始まります。このZIPにはPDFの誘導資料と悪意のあるLNKショートカットファイルが含まれています。LNKは埋め込まれたPowerShellローダーを実行し、DOCXドキュメントとPowerShellバックドア、バッチファイル、UACバイパス実行ファイルを含むCABアーカイブを抽出します。

ショートカットファイルが起動されると、DOCXが開き、バッチファイルを実行します。誘導資料は、ハッカーが開発環境を侵害し、インフラ、API資格情報、ウォレットアクセス、デジタル資産の保有情報などの敏感な資産にアクセスすることを目的としていることを示しています。

最初のバッチファイルはバックドア用のステージングディレクトリを作成し、2つ目のバッチファイルはOneDriveの起動タスクを模倣した毎時スケジュールタスクを作成します。このタスクはディスクからXOR暗号化されたPowerShellスクリプトを読み込み、メモリ内で復号して実行し、その後自己削除して感染の痕跡を消します。

AI支援によるマルウェア開発

PowerShellバックドアは、その起源を算術ベースの文字列エンコーディングと実行時の文字列再構築を用いて隠しています。研究者は、従来のマルウェアではなくAI支援による開発の兆候を確認しています。具体的には：

• スクリプトの冒頭に明確で構造化されたドキュメントがある (マルウェアにしては異例)
• クリーンでモジュール化されたコードレイアウト
• "# <-- your permanent project UUID"のようなプレースホルダーコメントの存在

これらの要素は、LLM生成のコードやチュートリアルで一般的に見られるものであり、北朝鮮のハッカーがAIツールをマルウェア開発に利用していることを示唆しています。

実行とコマンド＆コントロール

実行前に、マルウェアはハードウェア、ソフトウェア、ユーザーの活動を確認し、分析環境で動作していないことを確かめます。感染したデバイス上で起動すると、マルウェアは定期的にコマンド＆コントロール (C2)サーバーに接続し、ホストのメタデータを送信し、ランダムな間隔でポーリングします。C2にPowerShellコードが含まれている場合、バックグラウンドジョブを使って実行します。

これらの攻撃は、ランチャーのフォーマットの類似性、誘導名、実行チェーンの構造の重複から、北朝鮮のKonni脅威アクターによるものと考えられます。セキュリティ研究者は、この脅威を特定し防御するための侵害指標を公開しています。