FunkSec:新兴的黑客团体与人工智能的结合
关键要点
- FunkSec 是一个新兴的勒索软件服务(RaaS)团体,具有黑客行为者的背景,并声称利用人工智能辅助其网络犯罪活动。
- 该团体于2024年首次现身,随后在其数据泄露网站上发布了超过85名声称的受害者。
- FunkSec 的活动显现出其成员的业余水平,且与前黑客组织Ghost Algéria存在联系。
- 此外,FunkSec 利用人工智能工具提升其网络犯罪能力,并不断更新其勒索软件版本。
FunkSec 勒索软件团体是一个相对较新的勒索软件服务(RaaS)组织,具有黑客行为者的联系,似乎通过人工智能来协助其网络犯罪活动,Check PointResearch 在周五发布的一项分析中指出该信息。该团体于2024年10月首次出现在 Breached论坛,并于2024年12月建立了其数据泄露网站。在其早期行动中,FunkSec发布了一段被称为“泄露”的通话录音,内容涉及当时的美国总统候选人唐纳德·特朗普和以色列总理本雅明·内塔尼亚胡,这段录音被认为“显然是人工智能生成的”。
在 FunkSec数据泄露网站成立的首个月,该团体声称受害者人数超过了当月的其他任何勒索软件团伙——总计达到85个。然而,研究人员指出,其中许多泄露似乎是过去黑客行为运动的再利用,这进一步证实了该团体与黑客行为的联系,并对其作为勒索软件威胁参与者的能力提出了质疑。
不成熟的黑客行为者转型为勒索软件冲动
CheckPoint 发现 FunkSec 和黑客行为者之间的联系,尤其是一个现在已解散的组织 Ghost Algéria,该组织的名称出现在
FunkSec 勒索软件释放的几乎相同的赎金信中。研究人员还确定了与 FunkSec 有关的几个人物,他们似乎在 Breached论坛等网络犯罪平台上共同推进该团体的活动。
追踪 FunkSec 关联者的活动揭示了一种业余的行为模式;该团体首次宣传者之一的 Scorpion 或 DesertStorm在公开发布的截图中暴露了他们位于阿尔及利亚的地点,并最终在2024年11月被 Breached 论坛禁言。另一个关键人物 El_farado则多次发帖询问基础问题,例如黑客应如何处理他们窃取的数据。
对 FunkSec 勒索软件的技术分析显示,该团体似乎自己将样本和源代码的部分上传至
VirusTotal,结果发现代码中存在大量冗余,其函数在不同执行路径被多次调用,而在典型的勒索软件中通常仅被调用一次。
除了自定义的勒索软件外,FunkSec 还提供其他工具,包括基于 Python 的分布式拒绝服务(DDoS)工具,使用 HTTP 或 UDP洪水方法,还有一个名为 funkgenerate 的密码生成与抓取工具,以及用于远程桌面管理的工具 JQRAXY_HVNC。
FunkSec坚持其黑客行为的角度,声称其主要目标是美国,因为该国支持以色列,尽管其宣称的85名受害者分布在美国、印度、意大利、巴西、以色列、西班牙、蒙古及其他多个国家。
FunkSec 代码中显示的人工智能援助迹象
FunkSec 以使用人工智能工具来帮助其网络犯罪活动而闻名,其中包括通过 Miniapps聊天机器人平台创建的专注于网络犯罪的自定义聊天机器人。该团体以前还在其网站上发布过 ChatGPT生成的关于其勒索软件能力的摘要,这显然是通过将勒索软件二进制文件上传至该服务生成的。
Check Point 提到,FunkSec 的公开可用工具代码中也可以找到 AI 使用的迹象,例如存在用“完美英语”撰写的详细注释,而 FunkSec成员的其他帖子则显示出有限的英语能力。这一点在该团体使用的 Rust 基于勒索软件源代码中同样成立。
FunkSec 经常更新其勒索软件产品,有时每隔几天就更新一次,