In den letzten Wochen haben Sicherheitsforscher eine Kampagne zur Entwicklung von Blockchain und Kryptomonedas entdeckt, und der Autor scheint eine Gruppe mit nordkoreanischen Verbindungen zu sein, die für Spionage- und Sabotageoperationen bekannt ist: Konni (auch als Opal Sleet oder TA406). Die technische Analyse, veröffentlicht von Check Point, zeigt eine Kette von Infektionen entworfen, um Ingenieure und Entwickler durch Links auf Messaging-Plattformen und osfused Dateien zu täuschen, die laufen PowerShell-Code im Systemspeicher. Das ultimative Ziel ist nicht nur ein Eindringen, sondern der Zugang zu sensiblen Vermögenswerten in der Entwicklungsumgebung: Anmeldeinformationen, Infrastruktur, Zugang zu Geldbeuteln und schließlich Kryptomoneda-Mittel. In diesem Link können Sie den vollständigen Bericht der Forscher am Check Point lesen: Forschung.checkpoint.com - Konni zielt auf Entwicklungen mit KI-Malware.
Die Angriffskette ist subtil und nutzt Familientechniken: Der Eintrag erfolgt über einen in Discord gehosteten Link, der ein ZIP mit einem Deko im PDF-Format und einen schädlichen (.LNK) direkten Zugriff herunterlädt. Wenn Sie diesen direkten Zugriff öffnen, wird ein geprägtes PowerShell-Ladegerät gefeuert, um ein DOCX-Dokument und eine CAB-Datei zu extrahieren. Innerhalb des CAB gibt es eine Backdoor geschrieben in PowerShell, zwei Batch-Skripte und eine ausführbare, die versucht, User Account Control (UAC) zu vermeiden. Der DOCX wird so angezeigt, dass das Opfer nicht vermutet, während einer der im Lieferumfang enthaltenen Chargen für die Vorbereitung der Installation verantwortlich ist: Er erstellt Arbeitsverzeichnisse, gibt eine geplante Aufgabe an, die durch einen OneDrive-Start übertragen wird und verlässt auf der Festplatte ein verschlüsseltes Skript, das die Aufgabe durch eine XOR-Operation vor der Ausführung im Speicher disfiguriert. Die Aufgabe erlöscht sich auch, um es für die forensische Erkennung der verübten Geräte schwierig zu machen.
Die Hintertür in PowerShell ist sehr obfusciert: Die Autoren haben die Codierung mittels arithmetischen Operationen für Ketten, dynamische Textrekonstruktion in der Zeit der Ausführung und Endausführung durch Invoke- Expression verwendet, die verhindern, dass statische Signaturen sie leicht identifizieren. Aber was die Aufmerksamkeit der Analysten am meisten anzog, war die Verfahrenssignatur des Codes selbst: saubere und ordnungsgemäße Dokumentation zu Beginn des Skripts, modulare Struktur und Kommentare, die als Vorlagenmarker fungieren, z.B. Hinweise, um ein "permanent project UUID" zu ersetzen. Diese Art der Kennzeichnung des Codes ist typisch für Artefakte, die von großen Sprachmodellen erzeugt werden, wenn sie Code erzeugen, und für Forscher ist es ein Zeichen, dass die Probe von IA in ihrer Erstellung unterstützt worden sein kann.
Vor der Bereitstellung seiner böswilligen Logik überprüft die binäre Umgebung: es überprüft Hardware, Software und Benutzeraktivität, um zu versuchen zu erkennen, ob es sich in einer Analyseumgebung (virtuelle Maschinen oder Sandkästen) befindet und erzeugt eine eindeutige Kennung für die infizierte Maschine. Von dort wird das Bifurca-Verhalten nach den Vorrechten des Prozesses im Host; in jedem Fall wird die Kommunikation mit dem Befehls- und Steuerserver regelmäßig und in zufälligen Abständen gehalten, grundlegende Metadaten des Systems zu senden und auf Befehle zu warten. Wenn der Server mit PowerShell-Code reagiert, verwandelt die Backdoor sie in einen Skriptblock und führt sie als Hintergrundarbeit, wodurch es einfacher wird, flexibel und diskret zu arbeiten.
Die Zuschreibung an Konni erfolgte nicht durch Intuition: Die Forscher verglichen Formate von Startern, Koinzidenz in Namen von Lures und Skripten und die Struktur der Ausführungskette mit früheren Kampagnen, die mit dem Schauspieler verbunden sind. Konni ist seit mindestens 2014 auf dem Radar der Sicherheitsgemeinschaft und wurde von verschiedenen Teams zu Aktivitätsclustern verknüpft, die mit geopolitischen Motivationen in der Region Asien und Europa operieren. In dieser Angriffswelle kamen die analysierten Proben aus Lieferungen aus Japan, Australien und Indien, was einen regionalen Ansatz in Asien-Pazifik nahelegte.
Warum Interesse an Blockchain-Entwicklern? Eine engagierte Entwicklungsumgebung kann einem Angreifer direkten Zugriff auf Schlüssel, APIs Anmeldeinformationen und kontinuierliche Infrastrukturkonfigurationen geben, die es erlauben, digitale Gelder zu bewegen oder zu leeren oder Türen in legitime Software einzufügen. Für Gruppen mit einer Geschichte von Kryptofremden Diebstahl oder verdeckten Operationen kann ein einzelner Host mit entsprechenden Berechtigungen extrem kostengünstig oder strategisch nützlich sein.
Wenn Sie in diesem Ökosystem arbeiten, sind die Empfehlungen der Experten zweifach: zum einen die Überwachung und die Stärkung der technischen Kontrollen; zum anderen das Polieren der digitalen Hygiene und der betrieblichen Praktiken. Vermeiden Sie nach unaufgeforderten Links auf Chat-Kanälen, Umgang mit verdächtigen LNK und ZIP-Dateien außerhalb der offiziellen Kanäle erhalten, und die Nutzung von PowerShell Ausführung und Überwachung Politik sind praktische Maßnahmen, die die Angriffsfläche reduzieren. Insbesondere für die Verwaltung von Geheimnissen und Anmeldeinformationen bieten Referenzressourcen wie der OWASP Guide on Secret Management gute Praktiken, die in Workflows integriert werden sollten: OWASP - Secrets Management Cheat Sheet. Um Teams vor allgemeinen Locken und Phishing-Kampagnen zu schützen, hält das UK National Cyber Security Centre praktische und zugängliche Ratschläge: NCSC - Phishing Anleitung.
Von der Erkennung bis zur Vermittlung ist die Zusammenarbeit zwischen Sicherheits- und Entwicklungsteams unerlässlich. Die Integritätstests der Entwicklungsumgebung, die Schlüsseldrehung, die Verwendung von Hardware-Portets für kritische Hintergründe und das Prinzip von weniger Privileg in produktiven und bauen Umgebungen verhindern, dass ein Eindringen in eine Workstation zu einer katastrophalen Lücke wird. Auf der Infrastrukturebene helfen EDR / NGAV-Lösungen, die PowerShell-Aktivitäten im Speicher erfassen, sowie Steuerungen auf programmierten Aufgaben und Eingabelasten (wie Monitoring-Änderungen im Register oder im Startordner) Ketten wie die von Check Point beschriebene zu identifizieren.
Sicherheitsbeamte sollten auch die von den Forschern geteilten Verpflichtungsindikatoren (IoC) überprüfen und mit internem Login zur Identifizierung von Aktivitätssignalen korrelieren. Check Point hat die Artefakte und Hashes im Zusammenhang mit dieser Kampagne in seinem Bericht veröffentlicht, was die proaktive Suche in Unternehmens- und akademischen Umgebungen erleichtert. Wenn Sie eine direkte Lektüre der technischen Analyse und des IoC benötigen, ist die Prüfstelle hier verfügbar: Konni zielt auf Entwicklungen mit KI-Malware - Check Point Research.
Die Folge hinterlässt zwei klare Lektionen: Hochrisikogruppen passen ihre Werkzeuge an, um Automatisierungs- und Sprachmodelle in der Malware-Generation zu nutzen, und traditionelle Spionageziele erweitern sich in die Welt der Kryptomonedas und Entwicklungsinfrastruktur. Die Kombination von glaubwürdigen Lures, Vermeidungstechniken und Code, die von IA möglicherweise unterstützt werden, erfordert eine Verteidigung, die technische Kontrolle, Sensibilisierung und robuste Prozesse kombiniert, um Schlüssel, Pipelines und kritische Ressourcen zu schützen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...