【安全资讯】Konni黑客组织利用AI生成恶意软件瞄准区块链工程师

概要：

在网络安全威胁日益复杂化的背景下，与朝鲜相关的APT组织Konni近期活动引发关注。该组织正利用人工智能技术构建的新型恶意软件，针对亚太地区的区块链开发者和工程师发起精准攻击，意图窃取加密货币等敏感数字资产。这一事件凸显了AI技术被滥用于网络攻击的新趋势，对金融科技等高价值行业构成了严峻挑战。

主要内容：

此次攻击始于钓鱼邮件，受害者会收到一个托管在Discord上的链接，该链接会下载一个包含PDF诱饵文件和恶意LNK快捷方式的ZIP压缩包。当用户打开LNK文件时，会触发一个嵌入的PowerShell加载器，该加载器会释放一个DOCX文档和一个CAB压缩包。CAB包内包含一个PowerShell后门、两个批处理文件和一个用于绕过用户账户控制（UAC）的可执行文件。攻击链最终会执行后门并建立持久化机制。

Check Point研究人员分析指出，此次攻击的核心恶意载荷——PowerShell后门，具有明显的人工智能辅助开发特征。其代码结构清晰、模块化程度高，并包含类似“# <– your permanent project UUID”这种在AI生成代码中常见的指导性注释。该后门使用了基于算术的字符串编码、运行时字符串重构以及通过‘Invoke-Expression’执行最终逻辑等多种混淆技术，以逃避检测。

该恶意软件在运行前会进行硬件、软件和用户活动检查，以确保自身不在分析环境中运行，并生成唯一的主机ID。根据在受感染主机上获得的执行权限不同，它会采取不同的后续行动路径。一旦后门完全运行，它会定期联系命令与控制（C2）服务器发送主机元数据，并以随机间隔轮询服务器以接收并执行下发的PowerShell指令。

研究人员根据启动器格式、诱饵文件名和脚本名称的重叠性，以及执行链结构与以往攻击的共性，将此次攻击归因于Konni威胁组织。该攻击旨在渗透开发环境，从而窃取基础设施、API凭证、钱包访问权限乃至加密货币资产，对区块链行业的安全构成了直接威胁。