Kuzey Kore bağlantılı bilgisayar korsanları, yapay zekayı yazılım ekiplerine karşı bir silaha dönüştüren yeni bir kampanya başlattı.
KONNI olarak bilinen grup, AI tarafından yazılan PowerShell kodunu kullanarak, gerçek proje içeriğini kötü amaçlı komut dosyalarıyla harmanlayan gizli bir arka kapı sunuyor.
Bu operasyon, tehdit aktörlerinin geliştirmeyi hızlandırmak ve izlerini gizlemek için yapay zeka araçlarını ne kadar hızlı benimsediğini gösteriyor.
Son dalgada KONNI, Japonya, Avustralya ve Hindistan da dahil olmak üzere Asya Pasifik bölgesindeki blockchain ve kripto projeleri üzerinde çalışan geliştiricileri ve mühendislik ekiplerini hedef alıyor.
Saldırganlar, gerçek ürün özetlerine benzeyen, ticaret botlarını, kimlik bilgisi sistemlerini ve teslimat yol haritalarını açıklayan ayrıntılı gereksinim belgeleri hazırlıyor ve bunları PDF yemleri olarak sunuyor.
.webp)
Bu belgeler, teknik personelin güvenini kazanmak ve onları enfeksiyon zincirini sessizce başlatan ekli kısayol dosyalarını açmaya yönlendirmek için tasarlanmıştır.
Check Point araştırmacıları, etkinliğin uzun süredir devam eden KONNI kümesinin bir parçası olduğunu belirledi ve yükün, kapsamlı yorumlara ve temiz yapıya sahip, yapay zeka tarafından oluşturulan bir PowerShell arka kapısı olduğunu kaydetti.
Bu arka kapı uzaktaki bir kapıyı açmaktan daha fazlasını yapar; profesyonel, geliştirici tarzı düzeni korurken donanım ayrıntılarını toplar, hata ayıklama araçlarını kontrol eder ve aynı anda yalnızca bir kopyanın çalıştırılmasını sağlar.
Mağdur kuruluşlar için risk, güvenliği ihlal edilmiş tek bir iş istasyonunun çok ötesine geçiyor. KONNI, depolara, bulut konsollarına ve imzalama anahtarlarına erişimi olan geliştiricileri hedef alarak, virüslü bir uç noktadan tüm yapı hatlarına veya üretim sistemlerine geçiş yapabilir.
Enfeksiyon Zinciri ve Kalıcılık Taktikleri
Saldırı, hedefin ZIP arşivini açıp PDF yeminin yanındaki Windows kısayol dosyasına çift tıklamasıyla başlıyor.
Bu kısayol, ikinci bir yem belgesini ve sıkıştırılmış bir CAB arşivini sessizce bırakan yerleşik bir PowerShell yükleyiciyi çalıştırır.
.webp)
Buradan, CAB arşivinden çıkarılan toplu dosyalar, arka kapıyı gizli bir ProgramData klasörüne taşır ve OneDrive başlangıç girişini taklit eden zamanlanmış bir görev oluşturur.
.webp)
Bu görev her saat başı çalışır, basit bir XOR anahtarı kullanarak diskteki PowerShell yükünün şifresini çözer ve bunu doğrudan bellekte yürüterek çalışma zamanı boyunca temel kötü amaçlı yazılımın dosyasız kalmasını sağlar ve olaylara müdahale edilmesini çok daha zorlaştırır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
