Hive0163 Uses AI-Assisted Slopoly Malware for Persistent Access in Ransomware Attacks
Mis à jour :
Émergence de Slopoly : Le groupe Hive0163 industrialise ses attaques via l’IA
Le groupe cybercriminel Hive0163, spécialisé dans l’extorsion et le déploiement de ransomwares, a intégré un nouveau logiciel malveillant nommé Slopoly à son arsenal. Ce malware, généré avec l’assistance d’un modèle de langage (LLM), est utilisé pour maintenir un accès persistant sur les serveurs compromis.
Points clés
- Usage de l’IA : Slopoly démontre comment les attaquants utilisent l’IA pour accélérer le développement de frameworks malveillants. Bien que le code ne soit pas techniquement révolutionnaire, sa structure (commentaires, journalisation, gestion des erreurs) indique une assistance par LLM.
- Fonctionnement : Slopoly agit comme un backdoor PowerShell. Il contacte un serveur de commande et contrôle (C2) toutes les 30 secondes pour envoyer des informations système et toutes les 50 secondes pour recevoir des instructions.
- Persistance : Le malware s’établit sur la machine via une tâche planifiée nommée “Runtime Broker”.
- Chaîne d’infection : L’attaquant utilise des techniques de ClickFix (ingénierie sociale) pour inciter les victimes à exécuter des commandes PowerShell, menant au déploiement de NodeSnake, puis d’outils plus larges comme Interlock RAT et, in fine, du ransomware Interlock.
- Vulnérabilités exploitées : Aucune CVE spécifique n’est mentionnée ; l’attaque repose sur l’exploitation de vecteurs d’ingénierie sociale (ClickFix) et sur le détournement d’outils système légitimes.
Recommandations
- Surveillance des tâches planifiées : Auditer régulièrement les tâches planifiées sur les serveurs, en portant une attention particulière aux noms suspects tels que “Runtime Broker”.
- Blocage des exécutions PowerShell : Restreindre ou surveiller étroitement l’utilisation de PowerShell et de cmd.exe, surtout lorsqu’ils sont lancés à partir de sources non autorisées.
- Sensibilisation au ClickFix : Former les utilisateurs aux tactiques d’ingénierie sociale de type “ClickFix”, qui incitent à copier-coller et exécuter des commandes malveillantes dans le terminal.
- Filtrage du trafic réseau : Surveiller les communications sortantes inhabituelles vers des serveurs C2 inconnus (fréquences de beaconing régulières).