Новий PowerShell-бекдор Slopoly, виявлений аналітиками IBM X-Force, демонструє, як генеративний штучний інтелект вже використовується кіберзлочинцями для створення інструментів атак. Цей скрипт став ключовим елементом багатоступеневої кампанії з розгортанням шифрувальника Interlock, що дозволяло зловмисникам більше тижня непомітно перебувати в інфраструктурі жертви, викрадати дані та готувати етап вимагання.
Slopoly: PowerShell-бекдор з «почерком» великої мовної моделі
Slopoly — це PowerShell-скрипт, який працює як клієнт до C2-фреймворку (command-and-control) і забезпечує стійкий віддалений доступ до скомпрометованої системи. Він розгортається на пізньому етапі атаки, коли зловмисники вже пройшли початкове проникнення та закріплення у мережі.
За даними IBM X-Force, кампанія пов’язана з фінансово мотивованою групою Hive0163, яка спеціалізується на масовому викраденні даних і використанні різних сімейств шифрувальників. Сам код Slopoly містить низку ознак, типовий вигляд яких важко пояснити без застосування великих мовних моделей (LLM).
Аналітики відзначають нетипово охайний стиль для більшості «ручних» шкідливих скриптів: докладні й структуровані коментарі, продумане логування, однаковий підхід до обробки помилок, зрозумілі стандартизовані імена змінних та функцій. Такий рівень оформлення коду підвищує читабельність і спрощує подальшу підтримку, що добре узгоджується з можливостями сучасних генеративних моделей.
У коментарях сам бекдор описаний як «Polymorphic C2 Persistence Client», однак справжніх поліморфних можливостей (динамічної зміни власного коду під час виконання) у нього не виявлено. Натомість використовується білдер, який генерує різні варіанти скрипта з рандомізованими іменами функцій і конфігураційними параметрами. Така примітивна варіативність ускладнює сигнатурне виявлення, але не робить Slopoly повноцінно поліморфною малвар’ю.
Механіка атаки: від ClickFix до прихованого C2-доступу
Початковий доступ здійснювався через соціальну інженерію за методикою ClickFix: користувача переконували клікнути по «інструкції з виправлення проблеми» або виконати серію дій, які нібито усувають збій. Фактично це призводило до запуску шкідливого коду. Дослідники також відзначають застосування споріднених сценаріїв, подібних до FileFix, які маскуються під легітимні поради з усунення неполадок.
Після початкового проникнення Slopoly розміщувався у каталозі C:\ProgramData\Microsoft\Windows\Runtime\ і закріплювався через планувальник завдань у вигляді таску з назвою «Runtime Broker». Така маскування імітує системні компоненти Windows і ускладнює ручне виявлення адміністратором.
Бекдор збирає базову інформацію про систему та регулярно взаємодіє з C2-сервером. Кожні 30 секунд він надсилає heartbeat-запити (сигнали «я живий»), а приблизно кожні 50 секунд опитує сервер на наявність нових команд. Отримані інструкції виконуються через cmd.exe, після чого результати повертаються операторам.
Набір команд Slopoly включає завантаження та запуск EXE, DLL і JavaScript-пейлоадів, виконання довільних команд оболонки, зміну інтервалів опитування, оновлення самого бекдора та його завершення. Таким чином, Slopoly виступає гнучким «транспортним шаром» для подальших інструментів і, зокрема, ransomware Interlock.
Екосистема Interlock: NodeSnake, InterlockRAT та JunkFiction
У дослідженій кампанії Slopoly використовувався як частина багаторівневої C2-інфраструктури. У мережах жертв також виявлено інші інструменти віддаленого доступу: NodeSnake та InterlockRAT. Така розгалужена інфраструктура підвищує стійкість операції: якщо один канал управління буде заблокований, зловмисники можуть переключитися на інший.
Безпосередньо шифрувальник Interlock доставлявся через завантажувач JunkFiction у вигляді 64-бітного EXE-файла для Windows. У низці випадків він виконувався як заплановане завдання з привілеями SYSTEM, що відкриває доступ до максимально широкого спектра критичних файлів і служб.
Для підвищення ефективності шифрування Interlock використовує Windows Restart Manager API, що дозволяє розблоковувати файли, які в цей момент утримуються іншими процесами. Після шифрування до імен файлів додаються розширення .!NT3RLOCK або .int3R1Ock, які слугують як індикаторами компрометації, так і елементами «бренду» групи.
IBM X-Force також вказує на можливі зв’язки Hive0163 з іншими відомими інструментами, зокрема Broomstick, SocksShell, PortStarter, SystemBC, а також з операторами шифрувальника Rhysida. Це свідчить про досить зрілу й розгалужену кримінальну екосистему.
Генеративний ШІ у руках кіберзлочинців та ключові заходи захисту
Випадок зі Slopoly демонструє важливий тренд: генеративний ШІ знижує поріг входу в розробку шкідливого ПЗ. Навіть групи без глибокої інженерної експертизи можуть за допомогою мовних моделей створювати структурований, відносно якісний код, який складніше аналізувати та засікати на ранніх етапах.
Основний ризик подібних кампаній — тривала прихована присутність у мережі жертви. Поки оператори малварі збирають дані й розгортають інфраструктуру, організація може не бачити явних ознак інциденту. Навіть якщо фінальний запуск шифрувальника буде заблокований, уже вкрадені масиви даних залишаються важелем тиску для подвійного або потрійного вимагання.
Щоб знизити ризики, організаціям варто посилити захист у кількох напрямах. По‑перше, навчання співробітників розпізнаванню сценаріїв ClickFix / FileFix та інших прийомів соціальної інженерії. По‑друге, жорсткий контроль PowerShell: використання AppLocker або WDAC, режиму Constrained Language Mode, централізованого логування та аналізу скриптової активності.
Критично важливим є моніторинг запланованих завдань і перевірка нетипових шляхів, таких як C:\ProgramData\Microsoft\Windows\Runtime\. Сучасні EDR/XDR-рішення здатні виявляти регулярні heartbeat-сесії з C2, аномальний запуск cmd.exe, нетипові PowerShell-команди та масові операції з файлами, характерні для шифрувальників.
Не менш важливо підтримувати регулярні перевірені резервні копії, сегментацію мережі та оперативне впровадження оновлень безпеки. Це не гарантує повного захисту від атак класу Slopoly/Interlock, але суттєво зменшує потенційні збитки та стійкість зловмисників у мережі.
Поява Slopoly та розвиток екосистеми Interlock переконливо показують: генеративний ШІ вже є невід’ємною частиною арсеналу кіберзлочинців. Організаціям варто враховувати цей фактор у моделях загроз, інвестувати в моніторинг скриптової активності й C2-комунікацій та будувати системні процеси виявлення й реагування. Чим раніше такі процеси будуть налагоджені, тим менше шансів, що подібні атаки призведуть до тривалих простоїв, масштабних витоків даних і значних фінансових втрат.
