北朝鮮のハッカーグループKonni(Opal Sleet、TA406)が、AI生成のPowerShellマルウェアを用いてブロックチェーン分野の開発者やエンジニアを標的にしている。
APT37および Kimsukyの活動クラスターと関連しているとみられるKonniは、少なくとも2014年から活動しており、これまでに 韓国、ロシア、ウクライナ、および欧州のさまざまな国の組織を標的にしているのが確認されている。
Check Pointの研究者が分析したサンプルに基づくと、脅威アクターの最新キャンペーンはアジア太平洋地域の標的に焦点を当てており、マルウェアは 日本、オーストラリア、インドから提出されていた。
攻撃は、被害者がDiscordでホストされたリンクを受け取るところから始まり、そのリンクはPDFの誘い文句(ルアー)と悪意のあるLNKショートカットファイルを含むZIPアーカイブを配布する。
LNKは埋め込みのPowerShellローダーを実行し、DOCX文書 と、PowerShellバックドア、2つのバッチファイル、UACバイパス実行ファイルを含むCABアーカイブを展開する。
ショートカットファイルを起動するとDOCXが開き、cabinetファイルに含まれるバッチファイルの1つが実行される。
出典: Check Point
ルアーとなるDOCX文書は、ハッカーが開発環境の侵害を狙っていることを示唆しており、それにより「インフラ、API認証情報、ウォレットへのアクセス、そして最終的には暗号資産の保有分を含む機密資産へのアクセス」を得られる可能性があるとしている。
最初のバッチファイルはバックドアと2つ目のバッチファイルのためのステージングディレクトリを作成し、OneDriveのスタートアップタスクを装った毎時実行のスケジュールタスクを作成する。
このタスクは、ディスク上のXORで暗号化されたPowerShellスクリプトを読み取り、メモリ上で実行するために復号する。最後に、自身を削除して感染の痕跡を消去する。
出典: Check Point
AI生成のバックドア
PowerShellバックドア自体は、算術ベースの文字列エンコーディング、実行時の文字列再構成、そして「Invoke-Expression」による最終ロジックの実行を用いて、強く難読化されている。
研究者らは、このPowerShellマルウェアは「従来のオペレーターが作成したマルウェアというより、AI支援による開発を強く示唆している」と述べている。
この結論に至った根拠には、スクリプト冒頭にある明確で構造化されたドキュメント(マルウェア開発では珍しい)、モジュール化された整然としたレイアウト、そして「# <– your permanent project UUID(あなたの恒久的なプロジェクトUUID)」というコメントの存在が含まれる。
出典: Check Point
「この言い回しはLLM生成コードに非常に特徴的で、モデルが人間のユーザーに対してプレースホルダー値をどのようにカスタマイズするかを明示的に指示している」 と、Check Pointは説明している。
「このようなコメントは、AIが生成したスクリプトやチュートリアルで一般的に見られる。」
実行前に、マルウェアはハードウェア、ソフトウェア、ユーザー活動のチェックを行い、解析環境で動作していないことを確認したうえで、一意のホストIDを生成する。
次に、侵害されたホスト上でどの実行権限を持っているかに応じて、以下の図に示すように別々の行動経路に従う。
出典: Check Point
感染したデバイス上でバックドアが完全に稼働すると、定期的にコマンド&コントロール(C2)サーバーへ接続して基本的なホストメタデータを送信し、ランダム化された間隔でサーバーをポーリングする。
C2の応答にPowerShellコードが含まれている場合、それをスクリプトブロックに変換し、バックグラウンドジョブを介して非同期に実行する。
Check Pointは、以前のランチャー形式、ルアーのファイル名とスクリプト名の重複、そして過去の攻撃と共通する実行チェーン構造の類似点に基づき、これらの攻撃をKonni脅威アクターによるものと判断している。
研究者らは、防御側が資産を保護できるよう、この最近のキャンペーンに関連する侵害指標(IoC)を公開した。
