HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一款疑似由人工智能(AI)生成的恶意软件的详细信息,该软件代号为 Slopoly,由以经济利益为动机的威胁行为者 Hive0163 使用。
IBM X-Force 研究员 Golo Mühr 在提前提供给 The Hacker News 的报告中表示:“尽管 Slopoly 这类 AI 生成的恶意软件目前仍相对普通,但它表明威胁行为者可以多么轻松地利用 AI 来开发新的恶意软件框架,所需时间仅为过去的一小部分。”
Hive0163 的活动以大规模数据窃取和勒索软件勒索为驱动。该电子犯罪团伙主要与一系列恶意工具相关联,包括 NodeSnake、Interlock RAT、JunkFiction loader 和 Interlock ransomware。
在该公司 2026 年初观察到的一起勒索软件攻击中,威胁行为者在漏洞利用后阶段部署了 Slopoly,以便在受感染服务器上维持超过一周的持久访问权限。
Slopoly 的发现可追溯至一个很可能通过构建器部署的 PowerShell 脚本,该脚本还通过名为 “Runtime Broker” 的计划任务建立了持久访问权限。
有迹象表明,该恶意软件是在一个尚未确定的大语言模型(LLM)的帮助下开发的。这些迹象包括存在大量注释、日志记录、错误处理和命名准确的变量。注释还将该脚本描述为 “Polymorphic C2 Persistence Client”,表明它是一个命令与控制(C2)框架的一部分。
Mühr 指出:“不过,该脚本不具备任何高级技术,几乎不能被视为多态的,因为它无法在执行过程中修改自身代码。但构建器可能会生成具有不同随机配置值和函数名的新客户端,这在恶意软件构建器中是标准做法。”
该 PowerShell 脚本充当一个功能完整的后门,每 30 秒向 C2 服务器发送一次包含系统信息的心跳消息,每 50 秒轮询一次新命令,通过 “cmd.exe” 执行该命令,并将结果传回服务器。目前尚不清楚在受感染网络上运行的命令的具体性质。
据称,此次攻击本身利用了 ClickFix 社会工程策略,诱骗受害者运行一个 PowerShell 命令,该命令随后下载了 NodeSnake—— 一款被归因于 Hive0163 的已知恶意软件。
为第一阶段组件,NodeSnake 旨在运行 shell 命令、建立持久访问权限,并检索和启动一个更广泛的恶意软件框架,即 Interlock RAT。
Hive0163 有使用 ClickFix 和恶意广告进行初始访问的记录。该威胁行为者用来建立立足点的另一种方法是依赖初始访问代理,例如 TA569(又名 SocGholish)和 TAG-124(又名 KongTuke 和 LandUpdate808)。
该框架在 PowerShell、PHP、C/C++、Java 和 JavaScript 中有多种实现,以同时支持 Windows 和 Linux。与 NodeSnake 一样,它也与远程服务器通信以获取命令,这些命令允许它启动 SOCKS5 代理隧道、在受感染机器上生成反向 shell,并交付更多载荷,例如 Interlock ransomware 和 Slopoly。
Slopoly 的出现进一步扩大了 AI 辅助恶意软件的名单,该名单还包括 VoidLink 和 PromptSpy,凸显了不良行为者如何利用该技术加速恶意软件开发并扩大其活动规模。
IBM X-Force 表示:“从技术角度来看,AI 生成的恶意软件的引入并不构成新的或复杂的威胁。它通过减少操作者开发和执行攻击所需的时间,极大地增强了威胁行为者的能力。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文