AI Crazy
New member
Các nhà nghiên cứu an ninh phát hiện nhóm KONNI dùng mã độc do AI tạo để tấn công nhà phát triển blockchain và crypto. Chiến dịch lợi dụng email lừa đảo nhằm thâm nhập hạ tầng đám mây, kho mã nguồn và khóa API.
Security Check Point Research (CPR) cho biết KONNI, nhóm bị cho là được nhà nước Triều Tiên hậu thuẫn, đã mở rộng mục tiêu từ chính trị gia sang các kỹ sư phần mềm, đặc biệt là phát triển blockchain và crypto. Thay vì chỉ nhắm tới các cá nhân có liên quan chính trị, chiến dịch mới tập trung vào những người có quyền truy cập vào hạ tầng đám mây, kho mã nguồn và khóa API liên quan đến tiền điện tử.
CPR mô tả cách thức tấn công: tin nhắn giả mạo được gửi tới các kỹ thuật viên IT với nội dung rất thuyết phục để dẫn dụ họ chạy mã độc. Nạn nhân khi dính bẫy sẽ triển khai một backdoor PowerShell do AI sinh ra, cho phép kẻ tấn công chiếm quyền trên máy và truy cập mọi bí mật lưu trên đó.
Một điểm đáng lưu ý là backdoor này được tạo bằng công cụ sinh mã AI, cho thấy trí tuệ nhân tạo đang được dùng để tăng tốc phát triển và tùy biến mã độc, chứ không nhất thiết là phát minh kỹ thuật tấn công hoàn toàn mới.
CPR nhấn mạnh phần mềm độc hại do AI hỗ trợ có thể thay đổi nhanh và linh hoạt, khiến kỹ thuật phát hiện dựa trên mẫu (signature) trở nên kém hiệu quả. Điều này buộc các chuyên gia an ninh phải thích nghi — tích hợp công cụ AI vào hệ thống phòng thủ, đồng thời chú trọng bảo vệ chuỗi phát triển phần mềm.
Chiến dịch của KONNI cho thấy mối đe dọa từ mã độc được AI hỗ trợ đã trở nên thực tế và nhắm vào những mục tiêu giá trị trong lĩnh vực crypto. Tổ chức cần cập nhật chiến lược bảo mật, vừa nâng cao phòng chống xã hội kỹ thuật (social engineering), vừa áp dụng công nghệ mới để phát hiện hành vi độc hại một cách chủ động.
Nguồn: Techradar
KONNI chuyển hướng tấn công sang nhà phát triển
Security Check Point Research (CPR) cho biết KONNI, nhóm bị cho là được nhà nước Triều Tiên hậu thuẫn, đã mở rộng mục tiêu từ chính trị gia sang các kỹ sư phần mềm, đặc biệt là phát triển blockchain và crypto. Thay vì chỉ nhắm tới các cá nhân có liên quan chính trị, chiến dịch mới tập trung vào những người có quyền truy cập vào hạ tầng đám mây, kho mã nguồn và khóa API liên quan đến tiền điện tử.
Chiến thuật: email lừa đảo và backdoor do AI tạo
CPR mô tả cách thức tấn công: tin nhắn giả mạo được gửi tới các kỹ thuật viên IT với nội dung rất thuyết phục để dẫn dụ họ chạy mã độc. Nạn nhân khi dính bẫy sẽ triển khai một backdoor PowerShell do AI sinh ra, cho phép kẻ tấn công chiếm quyền trên máy và truy cập mọi bí mật lưu trên đó.
Một điểm đáng lưu ý là backdoor này được tạo bằng công cụ sinh mã AI, cho thấy trí tuệ nhân tạo đang được dùng để tăng tốc phát triển và tùy biến mã độc, chứ không nhất thiết là phát minh kỹ thuật tấn công hoàn toàn mới.
Hệ quả cho công tác phòng thủ
CPR nhấn mạnh phần mềm độc hại do AI hỗ trợ có thể thay đổi nhanh và linh hoạt, khiến kỹ thuật phát hiện dựa trên mẫu (signature) trở nên kém hiệu quả. Điều này buộc các chuyên gia an ninh phải thích nghi — tích hợp công cụ AI vào hệ thống phòng thủ, đồng thời chú trọng bảo vệ chuỗi phát triển phần mềm.
Khuyến nghị bảo mật
- Đối xử môi trường phát triển như tài sản có giá trị cao: hạn chế quyền truy cập và giám sát các hành động nhạy cảm.
- Tăng cường phòng chống phishing: đào tạo nhân viên, triển khai kiểm soát email và xác thực hai yếu tố trong luồng làm việc hợp tác và phát triển.
- Bảo vệ hạ tầng đám mây và kho mã nguồn bằng chính sách truy cập chặt chẽ và quản lý khóa API cẩn trọng.
- Sử dụng giải pháp phòng ngừa mối đe dọa có hỗ trợ AI để phát hiện và chặn mã độc chưa có chữ ký sẵn ngay từ giai đoạn đầu của chuỗi tấn công.
Kết luận
Chiến dịch của KONNI cho thấy mối đe dọa từ mã độc được AI hỗ trợ đã trở nên thực tế và nhắm vào những mục tiêu giá trị trong lĩnh vực crypto. Tổ chức cần cập nhật chiến lược bảo mật, vừa nâng cao phòng chống xã hội kỹ thuật (social engineering), vừa áp dụng công nghệ mới để phát hiện hành vi độc hại một cách chủ động.
Nguồn: Techradar
Bài viết liên quan