Eine Gruppe, die mit Nordkorea verbunden ist, hat die Wette erhöht: Forscher haben Speed-Phishing-Kampagnen für Entwickler und Ingenieurteams des Blockchain-Ökosystems entdeckt, in denen Angreifer Malware in PowerShell verwenden, die mit Hilfe von künstlichen Intelligenz-Tools erstellt wurden. Diese Operationen sind nicht mehr auf die südkoreanische Umwelt beschränkt; Ziele wurden in Japan, Australien und Indien beobachtet, nach der technischen Analyse, die von Prüfstelle Forschung, die eine Entwicklung in der Strategie und dem Umfang des Schauspielers als Kanni vorschlägt.
Konni - auch in der Industrie unter Namen wie Erde Imp, TA406 oder Vedalia - ist seit mindestens 2014 aktiv und hat erhebliche Flexibilität in seinen Werkzeugen und Zielen gezeigt. In den letzten Monaten wurde es mit Taktiken verbunden, von der Nutzung von legitimen Dienstleistungen, um Remote gelöscht auf Android-Geräte zu erreichen, um die Verwendung von camouflaged Links in Werbenetzwerken zu vermeiden Mail-Filter. Das Genians Sicherheitszentrum beschreibt, wie die Kampagne namens "Operation Poseidon" nutzte die Online-Werbung klicken Umleitung Struktur, um Opfer zu schädlichen Dateien gehostet in legitimen oder gefährdeten Websites ( Generika)
Social Engineering bleibt die Lieblings-Eintrittstür: Nachrichten, die Finanzhinweise simulieren oder Transferbestätigungen induzieren den Empfänger, eine ZIP-Datei herunterzuladen. In den von Check Point dokumentierten Vorkommnissen enthalten diese ZIP einen Decoy in PDF und einen direkten Zugriff auf Windows (LNK), der beim Öffnen ein eingebettetes PowerShell-Ladegerät betreibt. Von dort wird eine Multilevel-Kette ausgelöst: Dokumente werden extrahiert, um den Benutzer abzulenken, eine CAB-Datei wird mit einer Backdoor in PowerShell, tippen Sie Skripte, um Persistenz vorzubereiten und eine ausführbare verwendet, um zu versuchen, Privilegien mit bekannten UAC-Techniken zu erhöhen, einschließlich Fodhelper. Ex-Missbrauch (siehe MITRE ATT & CK)
Die beobachtete Hintertür macht Kontrollen, um Analyseumgebungen und Sandkästen zu umgehen, um das System zu skizzieren und den Zugang zu konsolidieren. Nach dem Gewinnen einer Präsenz hinterlegt der Angreifer ein legitimes Remote-Management-Tool, SimpleHelp, um die persistente Steuerung zu erhalten und kommuniziert mit camouflaged Befehls- und Steuerservern unter einem "Filter", der den Verkehr nur auf typische Browser-Verbindungen begrenzt, so dass es schwierig ist, ihn durch Netzwerksteuerungen zu erkennen. Ein Teil der technischen Raffinesse wird in der Fähigkeit gezeigt, Ausnahmen in Microsoft Defender und in der Entfernung von Geräten zur Verringerung der Rückverfolgbarkeit einzustellen.
Besonders die Aufmerksamkeit der Analysten ist das mögliche Eingreifen von künstlichen Intelligenz-Tools bei der Schaffung der Hintertür: ihr modulares Design, lesbare Dokumentation und Positionsmarker-Kommentare weisen auf eine IA-gestützte Entwicklung hin. Diese Verwendung beschleunigt nicht nur die Produktion von schädlichen Code, sondern neigt auch zu homogenisieren und "polieren" Malware, so dass es nachhaltiger und vielleicht schwieriger, von legitimen Software zu unterscheiden.
Die Konvergenz traditioneller Techniken - Schnelllöschung, Missbrauch von Werbetexten wie Doppelklick-Infrastruktur, LNK-Dateien und Ausbeutung von legitimen Dienstleistungen - mit aufstrebenden Praktiken wie der IA-gestützten Generation stellt eine strategische Veränderung dar: Statt nur nach Anmeldeinformationen oder bestimmten Daten von Endnutzern zu suchen, weisen Angreifer auf Entwicklungsumgebungen und Lieferketten hin, wo eine einzelne Intrusion mehrere Fronten öffnen und ganze Projekte kompromittieren kann.
Diese Orientierung an Entwicklungsteams ist nicht isoliert. Parallel wurden Kampagnen mit in Visual Studio Code implantierten Tunneln für Fernzugriff, schädliche LNK Bereitstellung von Trojanern und Verpflichtungen zur Aktualisierung von Business-Software-Anbietern, um Malware-Familien an Kunden zu verteilen. Forschung von Signaturen wie Mit Sicherheit zeigen, wie Vorfälle in der Lieferkette und in Management-Tools von Akteuren sowohl für Finanz- als auch für Intelligenz Zwecke wiederholt genutzt wurden.
Was können die betroffenen Teams tun, insbesondere im Blockchain-Sektor und in sensiblen Entwicklungen? Zuerst müssen Sie den gemeinsamen Sinn für Cybersicherheit wiederherstellen: Misstrauen von komprimierten Dateien und direkten Zugriff per Post, validieren Sie Remits und Links außerhalb des normalen Workflows, und vermeiden Sie das Laufen heruntergeladener Binaries ohne vorherige Analyse. Aus technischer Sicht ist es von entscheidender Bedeutung, die Kontrollen an Endpunkten zu stärken, die Möglichkeit der Ausführung von PowerShell ohne Überwachung zu begrenzen, programmierte Aufgaben und hohe Privilegien zu prüfen, aktuelle Signaturen und Erkennungen aufrechtzuerhalten und die Segmentierung und Steuerung von Ausgängen im Netzwerk anzuwenden, um zu verhindern, dass gefährdete Systeme auf C2-Server gelangen. Ressourcen von Agenturen wie CISA bieten praktische Anleitungen zur Minderung von Phishing-Kampagnen und Reaktion auf Vorfälle.
Es ist auch wichtig, interne Management- und Update-Praktiken zu überprüfen; das Risiko eines legitimen Werkzeugs oder Dienstleisters, der als Distributionsvektor verwendet wird, bleibt bestehen, so Integritätsprüfung und Echtzeit-Leistungsüberwachung sind wesentliche Maßnahmen. Überprüfen Sie die Verwendung und Konfiguration von RMM-Lösungen wie SimpleHelp - und beschränken Sie ihre Bereitstellung auf das, was unbedingt notwendig ist - reduziert die Angriffsfläche.
Das Auftreten von schädlichen Code mit "signature" von IA stellt ein zusätzliches Dilemma: die gleiche Technologie, die Verteidigung beschleunigt (verhaltensbasierte Erkennung, automatisierte Analyse) kann auch Angreifer helfen, konsequenter und modularer Malware zu produzieren. Deshalb muss die Antwort doppelt sein: die Erkennungswerkzeuge zu verbessern und gleichzeitig die Arbeitshygiene und organisatorische Prozesse zu kultivieren, die die Wahrscheinlichkeit verringern, dass ein rücksichtsloser Klick zu einem systemischen Engagement wird.
Kurz gesagt betont die Kampagne Konni, dass Bedrohungen durch die Kombination von alten Taktiken mit neuen Fähigkeiten entstehen. Die Zusammenarbeit zwischen Sicherheitsanbietern, Technologieunternehmen und Entwicklungsteams, zusammen mit der Annahme grundlegender und fortgeschrittener Kontrollen, ist der beste Weg, um es für diese Angriffe schwierig zu machen, ihr Ziel zu erreichen. Für weitere technische Einzelheiten über die Forschung und die damit verbundenen Indikatoren siehe Bericht der Prüfstelle Forschung und Analysen verwandter Akteure, die von Generika und Mit Sicherheit.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...