CoinFubi

朝鲜黑客组织 Konni（代号 Opal Sleet，TA406）正在使用 AI 生成的 PowerShell 恶意软件，针对区块链领域的开发者和工程师。据信与 APT37 与 Kimsuky 活动簇相关，Konni 至少自2014年起就一直活跃，已在韩国、俄罗斯、乌克兰及欧洲多国的机构中看到目标攻击。基于 Check Point 研究人员分析的样本，该威胁行为者的最新行动聚焦亚太地区的目标，因为恶意软件是从日本、澳大利亚和印度提交的。

攻击从受害者收到一个托管在 Discord 的链接开始，该链接传送一个包含 PDF 诱饵和恶意 LNK 快捷方式的 ZIP 压缩包。该 LNK 运行一个嵌入式 PowerShell 加载器，提取一个 DOCX 文档和一个包含 PowerShell 后门、两个批处理文件以及一个用于绕过 UAC 的可执行文件的 CAB 压缩包。启动该快捷方式会使 DOCX 打开并执行 CAB 文件中包含的一个批处理文件。

在网络钓鱼攻击中使用的诱饵是一份 DOCX 文档，暗示黑客希望攻破开发环境，这可能让他们获得对敏感资产的访问权限，包括基础设施、API 凭据、钱包访问，最终获取加密货币持有。第一个批处理文件为后门创建一个阶段性工作目录，第二个批处理文件以及创建一个每小时运行并伪装成 OneDrive 启动任务的计划任务。此任务从磁盘读取经过 XOR 加密的 PowerShell 脚本并解密以在内存中执行。最后，它会自我删除，以清除感染痕迹。

该 PowerShell 后门本身通过算术编码的字符串、运行时字符串重建，以及通过 Invoke-Expression 执行最终逻辑等技术进行大量混淆。研究人员表示，这个 PowerShell 恶意软件更像 AI 辅助开发的产物，而非传统的运营商编写的恶意软件。得出这一结论的证据包括脚本顶部清晰、结构化的文档，这在恶意软件开发中并不常见；其模块化、整洁的布局；以及出现的“# <– your permanent project UUID”注释。这种表述高度符合由大语言模型生成的代码的特征，其中模型会明确指示人类用户如何自定义占位值，并向 Check Point 解释。 此类注释在 AI 生成的脚本和教程中很常见。在执行之前，恶意软件会进行硬件、软件和用户活动检查，以确保不会在分析环境中运行；随后生成唯一的主机标识。接着，取决于被攻陷主机上的执行权限，它会走向不同的行动路径，如下图所示。 如果来自控制服务器的响应包含 PowerShell 代码，它就会将其转换为脚本块并通过后台作业异步执行。Check Point 基于启动器格式、诱饵文件名与脚本名的重叠，以及执行链结构与早期攻击的一致性，将此次行动归因于 Konni。研究人员已公布与本次活动相关的入侵指标，以帮助防御者保护资产。