L’article publié par Aqua Nautilus dévoile Koske, un malware Linux sophistiqué qui utilise des techniques innovantes pour contourner les défenses traditionnelles. Ce malware montre des signes de développement assisté par IA, probablement avec l’aide d’un grand modèle de langage.

Koske exploite une instance JupyterLab mal configurée pour obtenir un accès initial, en téléchargeant des images JPEG malveillantes via des URL raccourcies. Ces images sont des fichiers polyglottes, contenant des charges utiles malveillantes qui sont extraites et exécutées en mémoire, échappant ainsi aux outils antivirus.

Pour assurer la persistance, Koske modifie des fichiers système critiques et utilise des services systemd personnalisés. Il emploie également des techniques de camouflage, comme un rootkit qui cache des fichiers et processus en utilisant le mécanisme LD_PRELOAD.

Le malware manipule agressivement les paramètres réseau pour maintenir la communication avec son infrastructure de commande et contrôle, et il est capable de miner plusieurs cryptomonnaies, s’adaptant aux capacités matérielles de l’hôte.

Les indicateurs de compromission (IOCs) incluent des adresses IP, des URL de téléchargement d’images, et des sommes de contrôle MD5 pour divers fichiers malveillants. Cet article est une publication de recherche visant à informer sur les nouvelles menaces posées par les malwares générés par IA.

🧠 TTPs et IOCs détectés

TTP

[“Exploitation d’une instance JupyterLab mal configurée pour l’accès initial”, “Utilisation de fichiers polyglottes pour l’exécution de charges utiles en mémoire”, ‘Modification de fichiers système critiques pour la persistance’, ‘Utilisation de services systemd personnalisés pour la persistance’, ‘Camouflage avec un rootkit utilisant LD_PRELOAD’, ‘Manipulation des paramètres réseau pour la communication C2’, ‘Minage de cryptomonnaies en fonction des capacités matérielles’]

IOC

[“Adresses IP associées à l’infrastructure C2”, “URL de téléchargement d’images malveillantes”, ‘Sommes de contrôle MD5 pour divers fichiers malveillants’]

🔗 Source originale : https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/