Cybersecurity-Forscher haben eine neue Malware als Slopoly getauft identifiziert, die, nach den Hinweisen in Ihrem Code gefunden, scheint mit Hilfe von künstlicher Intelligenz erstellt worden. Die vom IBM X-Force-Team dokumentierte und mit spezialisierten Medien geteilte Suche ersetzt auf der Tabelle, wie automatische Code-Generierungstools die Fähigkeit von Kriminellen beschleunigen, schädliche Software herzustellen und einzusetzen.
Die Gruppe, die diese Komponente verwendet hat, bekannt als Hive0163, ist in der digitalen Kriminalitätslandschaft nicht neu: ihre Operationen konzentrieren sich auf Erpressung durch massive Datendiebstahl und die Bereitstellung von Ransomware. In früheren Kampagnen wurden sie mit Familien und Werkzeugen wie NodeSnake, Interlock RAT und Lader verknüpft, die dazu dienen, den Rest des schädlichen Katalogs in die betroffenen Netzwerke einzuführen. In dem zuletzt dokumentierten Fall erschien Slopoly in der Post-Betriebsphase und hielt den dauerhaften Zugriff auf einen kompromittierten Server für mehr als eine Woche.
Aus technischer Sicht wird Slopoly als PowerShell-Skript vorgestellt, das höchstwahrscheinlich von einem "Builder" erzeugt wird, der seine Bereitstellung und Anpassung erleichtert. Der beobachtete Persistenzmechanismus schafft eine geplante Aufgabe mit dem Namen "Runtime Broker" und Malware fungiert als komplette Hintertür: es sendet Systeminformationen Beats an einen Befehl und Steuerungsserver jedes Mal, konsultiert Remote-Befehle und führt sie durch den Systeminterpreter und führt die Ergebnisse an den Bediener zurück. Diese Fähigkeiten ermöglichen es einem Angreifer, beliebige Befehle auszuführen und eine ständige Kommunikation mit dem engagierten Team zu pflegen.
Was die Forscher dazu veranlasst hat, die Teilnahme eines großen Sprachmodells (LLM) zu vermuten, sind Elemente des Codes selbst: umfangreiche erläuternde Kommentare, Ereignisaufzeichnung, Fehlermanagement und Namen besonders beschreibender Variablen. Auch in der internen Skriptdokumentation erscheint das Label "Polymorphic C2 Persistent Client", das die Absicht vorschlägt, einen C2-Client mit polymorphen Features zu erstellen. Laut Analysten implementiert das Stück jedoch keine fortschrittliche Selbstreparatur oder dynamische Modifizierungstechniken des laufenden Codes; vielmehr könnte der Builder Varianten mit Namen und randomisierten Werten erzeugen, eine Praxis, die bereits bei Malware-Erstellern üblich ist, um statische Signaturen zu umgehen.
Die Kette des Angriffs wird in einer Weise beschrieben, die mit anderen Fällen, die auf die gleiche Gruppierung zurückzuführen sind, übereinstimmend ist: Die anfängliche Intrusion wird in der Regel durch soziale Täuschung und Missdumping erreicht (einschließlich einer Taktik, die als "ClickFix" bezeichnet wird, die das Opfer dazu führt, PowerShell-Befehle auszuführen). Diese erste Komponente erleichtert die Ausführung von NodeSnake, entworfen, um Shell-Befehle auszuführen, Beharrlichkeit zu etablieren und ein breiteres Framework - Interlock - das in mehreren Implementierungen (PowerShell, PHP, C / C +, Java, JavaScript) verfügbar ist, um sowohl Windows- als auch Linux-Systeme zu beeinflussen. Aus diesem Rahmen können Sie SOCKS5 Tunelisierung, Reverse Shells und die Lieferung zusätzlicher Nutzlasten wie Ransomware oder Slopoly aktivieren.
Die Entstehung von Slopoly fügt anderen Indikationen hinzu, dass schädliche Akteure die IA nutzen, um die Entwicklung und Verbreitung von Offensive-Tools zu beschleunigen. Die eigene Analyse von IBM X-Force weist darauf hin, dass diese Programme zwar nicht immer neue Techniken bieten, welche Änderungen Geschwindigkeit und Zugänglichkeit: ein Bediener mit weniger Know-how kann Funktionscode in Bruchteilen der bisher benötigten Zeit erzeugen und anpassen.
Was bedeutet das für Sicherheitsorganisationen und Teams? Erstens, dass die traditionellen Verteidigungen weiterhin relevant bleiben - Netzsegmentierung, regelmäßige und überprüfbare Sicherung, Kontrolle der Ausführungs- und Patches - aber es ist jetzt noch kritischer, die Überwachung von Verhalten und Telemetrie zu stärken. Spezifische Maßnahmen, die das Risiko reduzieren, umfassen die Aktivierung fortschrittlicher PowerShell-Registrierung und Inspektion von Endpoints-Skripten, die Überwachung ungewöhnlicher geplanter Aufgaben (wie die Schaffung von "Runtime Broker", die nicht von einer legitimen Installation kommen), die Begrenzung der Ausführungsgenehmigungen und die Kontrolle des ausgehenden Verkehrs auf verdächtige C2-Server. EDR-Lösungen und Egressfiltering-Policies sind besonders nützlich, um Baken und Steuer- und Steuerkanäle zu erkennen.
Über die technische Antwort hinaus erfordert dieses Szenario einen koordinierten Ansatz zwischen Unternehmen, Technologieanbietern und Regulierungsbehörden. Es ist notwendig, in verhaltensbasierte Erkennung zu investieren, verlässliche Engagement-Indikatoren unter verschiedenen Organisationen zu teilen und auf die neue Rate, mit der Bedrohungen erzeugt werden, einfallsreiche Reaktionsprozesse anzupassen. Die Sicherheitsgemeinschaft kann auch von Rahmenbedingungen und Leitfäden für die Bewältigung von Risiken im Zusammenhang mit der IA profitieren, wie sie von staatlichen Stellen in den Bereichen Governance und Technologierisikomanagement vorgeschlagen werden.
Um die technischen Analyse- und Minderungsempfehlungen weiterzuentwickeln, bietet der ursprüngliche IBM X-Force-Bericht ein detailliertes Dossier über die Slowakei und den dazugehörigen Kontext: IBM X-Force - Slowakisch: Beginn von Aiti-enhanced Ransomware-Angriffen. Für einen Überblick über das Risiko von Ransomware und guten Schutz Praktiken, die US-Infrastruktur und Cybersicherheit Agentur. UU unterhält praktische Anleitungen auf seinem Portal: CISA - Ransomware Anleitung. Schließlich sind die NIST-Frameworks und -Empfehlungen, um die Politik und das Risikomanagement der IA selbst zu verstehen, eine nützliche Ressource: NIST - AI Risk Management Framework.
Die Ankunft von Slopoly bestätigt einen Trend, den sich die Verteidiger nicht leisten können zu ignorieren: künstliche Intelligenz zwingt nicht nur legitime Lösungen, sondern reduziert auch die Hindernisse für das digitale Verbrechen zu entwickeln. Im Licht dessen, die Reaktion muss Technologie, beste organisatorische Praktiken und Zusammenarbeit zwischen öffentlichen und privaten Akteuren kombinieren weil die Entwicklungsgeschwindigkeit, die die IA erlaubt, die gleiche Geschwindigkeit bei Erkennung, Reaktion und Prävention erfordert.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...