کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی بدافزار جدیدی به نام Slopoly خبر دادهاند که احتمالاً با کمک ابزارهای هوش مصنوعی مولد توسعه یافته و در جریان یک حمله باجافزاری مرتبط با Interlock برای سرقت دادهها مورد استفاده قرار گرفته است.
به گزارش کمیته رکن چهارم، این حمله با یک فریب مهندسی اجتماعی مبتنی بر ClickFix آغاز شد و در مراحل بعدی مهاجمان یک درِ پشتی مبتنی بر PowerShell به نام Slopoly را روی سرور قربانی نصب کردند. این بدافزار بهعنوان یک کلاینت ارتباط با سرور فرماندهی و کنترل (C2) عمل میکند.
پژوهشگران شرکت IBM X-Force پس از تحلیل این اسکریپت به نشانههایی دست یافتند که نشان میدهد کد آن احتمالاً با کمک یک مدل زبانی بزرگ (LLM) تولید شده است. از جمله این نشانهها میتوان به توضیحات گسترده در کد، ساختار منظم لاگها، مدیریت خطا و نامگذاری واضح متغیرها اشاره کرد؛ ویژگیهایی که معمولاً در بدافزارهای نوشتهشده توسط انسان کمتر دیده میشوند.
با وجود این، IBM اعلام کرده Slopoly از نظر فنی بدافزار بسیار پیچیدهای نیست. در توضیحات کد ادعا شده که این ابزار یک “Polymorphic C2 Persistence Client” است، اما پژوهشگران هیچ قابلیت واقعی پلیمورفیک در آن مشاهده نکردند.
این بدافزار در مسیر زیر نصب میشود:
C:\ProgramData\Microsoft\Windows\Runtime\
وظایف اصلی Slopoly شامل جمعآوری اطلاعات سیستم، ارسال پیام heartbeat به سرور C2 هر ۳۰ ثانیه، دریافت دستورات جدید، اجرای فرمانها از طریق cmd.exe و ارسال خروجی آنها به سرور مهاجم است. همچنین برای ماندگاری در سیستم یک Scheduled Task با نام Runtime Broker ایجاد میکند.
Slopoly قادر است فایلهای اجرایی، DLL یا JavaScript را دانلود و اجرا کند، فاصله beaconing را تغییر دهد، خود را بهروزرسانی کند یا فرآیند خود را متوقف کند.
بر اساس تحقیقات IBM، این حمله به یک گروه با انگیزه مالی به نام Hive0163 نسبت داده شده که هدف اصلی آن سرقت گسترده دادهها و سپس اخاذی از قربانیان است.
در زنجیره این حمله علاوه بر Slopoly، بدافزارهای دیگری نیز مشاهده شدهاند، از جمله NodeSnake و InterlockRAT. باجافزار Interlock که نخستین بار در سال ۲۰۲۴ مشاهده شد، از اولین گروههایی بود که از تکنیک ClickFix برای مهندسی اجتماعی استفاده کرد.
این گروه پیشتر سازمانهای مهمی مانند Texas Tech University System، DaVita، Kettering Health و شهر Saint Paul در ایالت مینهسوتا را هدف قرار داده است.
در حملهای که توسط IBM مشاهده شد، باجافزار Interlock از طریق یک loader به نام JunkFiction توزیع شده و فایلهای رمزگذاریشده را با پسوندهای .!NT3RLOCK و .int3R1Ock ذخیره میکند.
پژوهشگران همچنین معتقدند گروه Hive0163 ممکن است با توسعهدهندگان ابزارهای مخرب دیگری مانند SystemBC، SocksShell و PortStarter و حتی اپراتورهای باجافزار Rhysida ارتباط داشته باشد.
