Новый штамм вредоносного ПО под названием Slopoly, вероятно созданный с помощью инструментов генеративного ИИ, позволил злоумышленнику оставаться на скомпрометированном сервере более недели и похищать данные в результате атаки с использованием программы-вымогателя Interlock.
Взлом начался с уловки ClickFix, а на более поздних этапах атаки хакеры развернули бэкдор Slopoly в виде скрипта PowerShell, выступающего в роли клиента для командно-управляемого (C2) фреймворка.
Исследователи IBM X-Force проанализировали скрипт и обнаружили явные признаки того, что он был создан с использованием большой языковой модели (LLM), но не смогли определить, какой именно.
Свидетельства, указывающие на разработку с помощью ИИ, включают обширные комментарии в коде, структурированное логирование, обработку ошибок и четко названные переменные. Все это редко встречается во вредоносном ПО, разработанном человеком.
Они связали атаку с группой, мотивированной финансовыми интересами, которую они отслеживают как Hive0163, «основная цель которой — вымогательство посредством крупномасштабной эксфильтрации данных и программ-вымогателей».
По мнению исследователей, Slopoly довольно несложен, хотя его развертывание в цепочках атак операторов программ-вымогателей указывает на то, что инструменты ИИ активно используются для ускорения разработки пользовательского вредоносного ПО, что может помочь избежать обнаружения.
Хотя комментарии в скрипте Slopoly описывают его как «Полиморфный C2 Клиент для сохранения присутствия» (Polymorphic C2 Persistence Client), IBM X-Force не обнаружила функции, которая позволяла бы изменять собственный код во время выполнения.
«Скрипт не обладает какими-либо продвинутыми техниками и вряд ли может считаться полиморфным, поскольку он не способен изменять свой собственный код во время выполнения», — говорится в отчете IBM.
«Однако билдер может генерировать новые клиенты с различными случайными конфигурационными значениями и именами функций, что является стандартной практикой среди билдеров вредоносного ПО».
Исследователи IBM X-Force полагают, что Slopoly был сгенерирован билдером, который внедрял конфигурационные значения, такие как интервалы маяков (beaconing intervals), адреса командно-управляемых серверов, имена мьютексов и идентификаторы сессий.
Вредоносное ПО развертывается в каталоге C:\ProgramData\Microsoft\Windows\Runtime\, а его основные функции включают:
- Сбор системной информации
- Отправка «маяка» о состоянии каждые 30 секунд на /api/commands
- Опрос команд каждые 50 секунд
- Выполнение полученных команд через cmd.exe
- Отправка результатов выполнения команд обратно на C2-сервер
- Поддержание ротируемого файла persistence.log
- Обеспечение постоянства через запланированную задачу с именем «Runtime Broker»
Поддерживаемые команды позволяют загружать и выполнять полезные нагрузки EXE, DLL или JavaScript; запускать команды оболочки и возвращать результаты; изменять интервалы маяков; обновлять себя или завершать собственный процесс.
Атака, которую наблюдала IBM, началась с потока социальной инженерии ClickFix и развернула несколько компонентов вредоносного ПО помимо Slopoly, включая бэкдоры NodeSnake и InterlockRAT.
Программа-вымогатель Interlock появилась в 2024 году и стала одним из первых, кто начал использовать технику социальной инженерии ClickFix, а позже и вариант FileFix.
Группа злоумышленников ранее заявляла об атаках на известные организации, такие как Система Техасского технологического университета, DaVita, Kettering Health и город Сент-Пол, штат Миннесота.
Полезная нагрузка программы-вымогателя Interlock, замеченная в атаках, о которых сообщила IBM, представляет собой 64-битный исполняемый файл для Windows, доставляемый через загрузчик JunkFiction.
Он может выполняться как запланированная задача под учетной записью SYSTEM и использует API диспетчера перезапусков Windows для освобождения заблокированных файлов, добавляя расширения «. !NT3RLOCK» или «.int3R1Ock» к их зашифрованным копиям.
IBM сообщает, что Hive0163 также может быть связан с разработчиками, стоящими за Broomstick, SocksShell, PortStarter, SystemBC и операторами программы-вымогателя Rhysida.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
