Мощная кампания UNC6032: ИИ-видео и скрытое вредоносное ПО

Киберкампания UNC6032: злоумышленники используют искусственный интеллект для распространения вредоносного ПО

С ноября 2024 года эксперты Mandiant Threat Defense отслеживают активность группы UNC6032, которая эксплуатирует растущий интерес к инструментам искусственного интеллекта, в частности к приложениям для создания видео. В центре их атаки — поддельные веб-сайты с видео-генераторами на базе искусственного интеллекта, распространяющие вредоносное ПО через мошеннические рекламные объявления в социальных сетях.

Методы и инструменты атаки

Ключевым элементом кампании являются фальшивые объявления, имитирующие популярные сервисы, такие как Luma AI и Canva Dream Lab. Эти объявления, размещённые на таких платформах, как Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) и LinkedIn, достигли миллионов пользователей:

• Тысячи объявлений были зафиксированы на популярных соцсетях, что свидетельствует о масштабной и продуманной стратегии злоумышленников.
• Для заражения пользователей используется скачивание исполняемого файла с маскировкой под видеоформат — с расширением .mp4.exe — что вводит пользователей в заблуждение и скрывает истинную природу файла.

Характеристика вредоносной программы STARKVEIL

Основной вредоносный компонент кампании — дроппер STARKVEIL, разработанный на языке Rust. Он состоит из нескольких модулей, направленных на кражу информации и поддержание длительной активности вредоносного кода:

• Бэкдоры XWORM и FROSTRIFT — отвечают за кейлоггинг, снятие скриншотов, сбор данных браузера и криптокошельков;
• Загрузчик GRIMPULL — проверяет среду запуска, используя средства защиты от виртуальных машин;
• Применяются методы боковой загрузки DLL, внедрение процессов и техники антианализа, позволяющие обходить средства безопасности;
• Вредоносное ПО осуществляет многоэтапную загрузку и внедрение полезной нагрузки с помощью хитроумных приёмов — например, показывает окно ошибки, вынуждающее пользователя перезапустить файл;
• Встроенный Python-код применяет криптографию для доставки полезной нагрузки и управления удалением данных из памяти.

Коммуникация и скрытность

Злоумышленники уделяют особое внимание защите своих операций от обнаружения и анализа:

• Бэкдоры используют протокол TCP для связи с серверами управления (C2);
• Для повышения скрытности применяется сжатие и кодирование трафика;
• Реализованы методы поддержания постоянных соединений, что обеспечивает долговременную активность вредоноса;
• GRIMPULL проверяет легитимность среды – защищается от виртуальных машин, чтобы усложнить разбор деятельности в исследовательских средах.

Что это значит для пользователей и организаций

Данная кампания ярко демонстрирует растущую опасность социальной инженерии в киберпространстве. Использование знакомых и популярных платформ, связанных с искусственным интеллектом, повышает доверие пользователей и шансы на успешное заражение.

Эксперты предупреждают:

«Злоумышленники все чаще прибегают к сложным многоступенчатым атакам, используя современные технологии и психологию восприятия, чтобы обойти защиту и получить контроль над системами»

Для защиты важно сохранять бдительность даже при работе с легитимно выглядящими сервисами и внимательно проверять источники загружаемых файлов.

Ключевые выводы

• Группа UNC6032 активно использует тренды в искусственном интеллекте для масштабных кампаний;
• Использование фейковых видеогенераторов позволяет быстро распространять вредоносное ПО среди широкой аудитории;
• Многоуровневые техники маскировки и антианализа обеспечивают стойкость вредоноса;
• Кампания подчёркивает необходимость обновления систем безопасности и повышения осведомлённости пользователей о современных методах социальной инженерии.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.