Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Hive0163 користи Slopoli Malware потпомогнат од вештачка интелигенција за постојан пристап во напади со Ransomware

Објавено: 13.03.2026

Истражувачите за сајбер-безбедност објавија детали за малициозен софтвер за кој се сомнева дека е генериран со вештачка интелигенција (AI), со кодно име Slopoly, кој го користи финансиски мотивирана заканувачка група наречена Hive0163.

„Иако сè уште не е особено софистициран, AI-генерираниот малициозен софтвер како Slopoly покажува колку лесно заканувачките актери можат да ја искористат вештачката интелигенција за развој на нови malware рамки за дел од времето што порано беше потребно,“ изјави истражувачот од IBM X-Force, Голо Мур, во извештај споделен со The Hacker News.

Операциите на Hive0163 се водени од изнуда преку масовно извлекување на податоци (data exfiltration) и ransomware напади. Оваа е-криминална група се поврзува со широк спектар на злонамерни алатки, меѓу кои се NodeSnake, Interlock RAT, JunkFiction loader и Interlock ransomware.

Во еден ransomware напад што компанијата го забележала на почетокот на 2026 година, заканувачкиот актер бил забележан како го распоредува Slopoly за време на post-exploitation фазата, со цел да одржи постојан пристап (persistent access) до компромитираниот сервер повеќе од една недела.

Откривањето на Slopoly може да се проследи до PowerShell скрипта, која најверојатно се поставува во папката
C:\ProgramData\Microsoft\Windows\Runtime\ преку т.н. builder алатка. Постојаноста (persistence) се обезбедува со креирање на закажана задача (scheduled task) наречена “Runtime Broker.”

Постојат индикации дека малициозниот софтвер бил развиен со помош на сè уште неидентификуван голем јазичен модел (LLM). Ова се гледа по присуството на обемни коментари, логирање, обработка на грешки и прецизно именувани променливи. Коментарите исто така ја опишуваат скриптата како „Polymorphic C2 Persistence Client“, што укажува дека таа е дел од command-and-control (C2) инфраструктура.

„Сепак, скриптата нема напредни техники и тешко може да се смета за полиморфна, бидејќи не може да го модифицира сопствениот код за време на извршување,“ забележува Мур. „Builder-от, сепак, може да генерира нови клиенти со различни рандомизирани конфигурациски вредности и имиња на функции, што е стандардна практика кај malware builder алатките.“

PowerShell скриптата функционира како целосен backdoor, кој на секои 30 секунди испраќа heartbeat порака со системски информации кон C2 сервер, проверува за нови команди на секои 50 секунди, ги извршува преку cmd.exe и ги враќа резултатите назад до серверот. Точната природа на командите што се извршуваат во компромитираната мрежа засега не е позната.

Ако сакаш, можам и да ти објаснам како точно функционира овој Slopoly malware чекор по чекор (C2, persistence, builder, heartbeat механизам) – тоа е доста интересно од threat-intel перспектива.

Самиот напад наводно ја користел ClickFix тактиката на социјален инженеринг за да ја измами жртвата да изврши PowerShell команда, која потоа го презема NodeSnake, познат малициозен софтвер поврзан со групата Hive0163.

Првата фаза на малициозниот софтвер, NodeSnake, е дизајнирана да извршува shell команди, да воспостави постојаност (persistence) во системот и да преземе и стартува поширока malware рамка наречена Interlock RAT.

Hive0163 има историја на користење ClickFix и malvertising (злонамерно рекламирање) за почетен пристап до системите. Друг метод што го користи заканувачкиот актер за воспоставување почетна позиција во мрежа е потпирање на initial access brokers, како што се TA569 (познат и како SocGholish) и TAG-124 (познат и како KongTuke и LandUpdate808).

Оваа рамка има повеќе имплементации во PowerShell, PHP, C/C++, Java и JavaScript, со цел да поддржи и Windows и Linux системи. Како и NodeSnake, таа комуницира со оддалечен сервер за да презема команди што овозможуваат:

  • отворање SOCKS5 proxy тунел,
  • создавање reverse shell на заразениот компјутер,
  • доставување дополнителни payload-и, како што се Interlock ransomware и Slopoly.

Појавата на Slopoly се додава на сè поголемата листа на AI-помогнат малициозен софтвер, во која спаѓаат и VoidLink и PromptSpy, што покажува како криминалните актери ја користат технологијата за побрз развој на malware и проширување на своите операции.

„Воведувањето на AI-генериран malware технички не претставува нова или особено софистицирана закана,“ соопшти IBM X-Force. „Но, значително им помага на заканувачките актери, бидејќи го намалува времето што му е потребно на операторот за да развие и изврши напад.“

Извори:

  • The Hacker News – Hive0163 Uses AI-Assisted Slopoly Malware for Persistent Access in Ransomware Attacks The Hacker News