Угроза Hive0163: Внедрение ВИУ-усиленного вредоноса Slopoly для скрытой подготовки к атаке вымогателей
Группа повышенной опасности, отслеживаемая под обозначением Hive0163, применяет новый штамм вредоносного программного обеспечения с элементами искусственного интеллекта под названием Slopoly. Его цель — создание глубокого и устойчивого доступа в корпоративных сетях для последующего развёртывания ransomware. Как следует из детального анализа Google Threat Analysis Group (TAG), эта кампания знаменует значительную эволюцию методов злоумышленников, сочетая продвинутые техники уклонения от обнаружения с искусственным интеллектом для автоматизации начального этапа вторжения.
Вредонос Slopoly, представляющий собой бэкдор на Python, использует ИИ-модели для интеллектуального анализа и хищения конфиденциальных данных со скомпрометированных систем. В их числе — учётные данные и информация о системе. Одновременно он применяет изощрённую тактику «жизни за счёт земли», маскируя свою активность под легитимные процессы. Этот компонент ИИ позволяет вредносу действовать более автономно, самостоятельно принимая стратегические решения о том, какие данные похищать и как сохранять контроль, сокращая необходимость постоянного ручного управления со стороны атакующих.
Цепочка заражения обычно начинается с целевого фишингового письма, содержащего вредоносное PDF-вложение. Этот файл эксплуатирует известную уязвимость CVE-2023-27363 в программе Foxit PDF Reader для выполнения скрипта PowerShell, который, в свою очередь, загружает и запускает полезную нагрузку Slopoly. После установки бэкдор обеспечивает своё постоянное присутствие через планировщик задач и приступает к сбору информации.
ИИ-модуль вредноса предназначен для просеивания каталогов, типов файлов и системных данных, обучаясь идентифицировать и расставлять по приоритету наиболее ценную информацию для последующей утечки. Похищенные данные отправляются на управляемые злоумышленниками командные серверы. Устойчивый доступ, предоставляемый Slopoly, не является конечной целью, а служит подготовительным этапом для более разрушительных атак.
Разведданные указывают, что конечная цель Hive0163 — развёртывание ransomware-программ. Slopoly же выступает в роли критически важного инструмента разведки и плацдарма, прокладывая путь для хищения данных, перемещения по сети и последующего шифрования ключевых активов. Использование ИИ в этом контексте обозначает тревожный тренд в ландшафте киберугроз, заставляя пересматривать традиционные подходы к защите.
