GTIG: Nowy etap ataków LLM i kryptowalut wymierzonych w Koreę Północną

GTIG: Nowy etap ataków LLM i atakowania kryptowalut przez Koreę Północną, wykorzystanie PROMPTFLUX i PROMPTSTEAL bezpośrednio w czasie wykonywania bez rekompilacji, a także rozszerzenie metod dostarczania BIGMACHO, które zagrażają portfelom kryptowalut.

Stack 10% More on Your First BTCC Deposit

Start Trading

Więcej informacji na temat szybkiego rozwoju ekosystemu hakerów opartego na sztucznej inteligencji i zagrożeń dla branży kryptograficznej

GTIG AI Threat Tracker podkreśla kluczowe wskaźniki, że przeciwnicy przeszli od czysto "produktywnego" wykorzystania sztucznej inteligencji do wykonywania kodu w oparciu o LLM w czasie wykonywania, otwierając klasę autonomicznego, adaptacyjnego złośliwego oprogramowania, w którym logika jest ładowana z modelu, a nie osadzana z wyprzedzeniem. Zarejestrowali oni pierwsze rodziny, które generują skrypty i funkcje na żądanie, zaciemniają się i zmieniają zachowanie w czasie wykonywania - PROMPTFLUX i PROMPTSTEAL.

PROMPTFLUX ilustruje zależność runtime od LLM. Dropper VBScript żąda technik zaciemniania za pośrednictwem interfejsu API Gemini i zapisuje przepisaną wersję w Startup, próbując również rozprzestrzeniać się za pośrednictwem nośników wymiennych i udziałów sieciowych. Znaleziono moduł "Thinking Robot", który okresowo odpytuje "gemini-1.5-flash-latest" za pomocą zakodowanego na stałe klucza i maszynowo przeanalizowanego monitu wymagającego jedynie kodu VBScript w celu ominięcia antywirusa; odpowiedzi są rejestrowane w pliku %TEMP%\thinking_robot_log.txt. Istnieje wariant z godzinową pełną regeneracją źródła przy zachowaniu ładunku, klucza API i logiki samoregeneracji.

PROMPTSTEAL był już wykorzystywany w operacjach. Złośliwe oprogramowanie maskuje się jako aplikacja do generowania obrazów i za pośrednictwem interfejsu API Hugging Face żąda jednowierszowych poleceń systemu Windows od LLM Qwen2.5-Coder-32B-Instruct w celu zebrania informacji o systemie i skopiowania dokumentów do określonego katalogu z późniejszą eksfiltracją. Jest to pierwszy zarejestrowany przypadek złośliwego oprogramowania wysyłającego zapytania do LLM w terenie; prawdopodobnie wykorzystywane są skradzione tokeny API. Nowe próbki dodają zaciemnienie i zmieniają C2.

Ogromna płynność podczas przyjmowania kryptowalut czyni je głównym celem ataku

Klaster UNC1069 stał się krytyczny, wykorzystując Gemini do badań nad kryptowalutami i lokalizacją danych aplikacji portfela, generując przynęty kryptograficzne i towarzyszące im wiadomości, w tym hiszpańskojęzyczne teksty dotyczące zmiany harmonogramu spotkań i pretekstów związanych z pracą. Na późniejszych etapach przeradza się to w próby uzyskania kodu do kradzieży kryptowaluty i przygotowania fałszywych instrukcji pod przykrywką aktualizacji oprogramowania w celu wyłudzenia danych uwierzytelniających.

Na tej samej linii znajduje się wykorzystanie deepfake'ów podszywających się pod postacie z branży kryptowalut: ofiara jest nakłaniana do zainstalowania fałszywego "Zoom SDK", po czym do systemu dostarczany jest backdoor BIGMACHO. Północnokoreańska grupa UNC4899 wyróżniała się tutaj, wykorzystując Gemini do rozwoju i operacji, w tym pomocy w C2 i zaciemnianiu, rozszerzając narzędzia na urządzenia brzegowe i nowoczesne przeglądarki.

Kluczową kwestią jest to, że nie jest to już eksperymentowanie z nową technologią, ale cały ekosystem metod i narzędzi. Rynek podziemnych usług AI rozwija się niezwykle szybko: Angielsko- i rosyjskojęzyczne fora oferują wielofunkcyjne narzędzia do phishingu, generowania złośliwego oprogramowania i wykrywania luk w zabezpieczeniach. Model monetyzacji kopiuje legalne usługi - od freemium z reklamami po płatne plany z generowaniem obrazów, dostępem do API i Discordem. Wszystko to znacznie obniża barierę wejścia i skaluje kampanie, nie wymagając od operatorów wysokiego poziomu technicznego.

Priorytet bezpieczeństwa systemu jest tak wysoki jak zawsze

Ponieważ adopcja kryptowalut postępuje niezwykle szybko i przyciąga ogromny kapitał, staje się znacznie bardziej atrakcyjnym celem dla atakujących, którzy celują bezpośrednio w fundusze, a nie w dane, których monetyzacja jest osobnym krokiem. Dlatego też atakujący udoskonalają swoje metody i narzędzia, szukając najbardziej efektywnej drogi do głównego celu, jakim są fundusze. Jest to kolejny niezwykle głośny sygnał dla wszystkich firm, aby podnieść priorytet bezpieczeństwa jak nigdy dotąd, a dla zespołów bezpieczeństwa udoskonalić swoje rozwiązania, aby zapewnić nie tylko długoterminową rentowność, ale także odporność Web3. Bądź na bieżąco z najnowszymi aktualizacjami i możliwościami w zdecentralizowanych finansach, branży kryptowalut i rozwoju blockchain.