Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA
Indice:
Gli attaccanti stanno sfruttando sempre più l’intelligenza artificiale per compromettere asset aziendali critici, segnando un’evoluzione pericolosa nello scenario delle minacce. Il Rapporto sulla Sicurezza AI 2025 di Check Point Research evidenzia come gli attori delle minacce stiano utilizzando l’AI per impersonificazioni deepfake, creazione automatizzata di malware, jailbreak di LLM e campagne di disinformazione generativa. Dopo le campagne che hanno utilizzato tool AI fasulli per diffondere i malware CyberLock, Lucky_Gh0$t e Numero, gli esperti di cybersecurity hanno ora identificato una nuova minaccia basata sull’intelligenza artificiale. Chiamato Koske, questo malware sofisticato sembra essere stato sviluppato con il supporto significativo dell’AI, sottolineando l’arma sempre più potente che questa tecnologia rappresenta negli attacchi informatici moderni.
Rilevare gli Attacchi del Malware Koske
Secondo una ricerca condotta da Netacea, il 93% delle aziende ritiene che dovrà affrontare attacchi basati sull’AI su base quotidiana entro il prossimo anno. Il Rapporto State of Security 2025 di Splunk rivela inoltre che i responsabili della sicurezza vedono l’AI generativa usata dagli attaccanti per migliorare l’efficacia degli attacchi esistenti (32%), aumentarne il volume (28%), creare nuove modalità di attacco (23%) e condurre attività di ricognizione (17%). Questi dati confermano il crescente potenziale offensivo dell’intelligenza artificiale, con minacce sempre più sofisticate come il malware Koske destinate ad emergere.
Registrati alla piattaforma SOC Prime per sfruttare le capacità difensive dell’AI e rilevare gli attacchi del malware Koske fin dalle prime fasi. La piattaforma fornisce intelligence sulle minacce tempestiva e contenuti di rilevamento attivabili, supportati da una suite completa per la detection engineering basata su AI, threat hunting automatizzato e rilevamento avanzato delle minacce. Clicca sul pulsante Esplora Rilevamenti qui sotto per accedere a un set curato di regole pensate per identificare e contrastare le attività malware Koske oppure utilizza il tag “Koske” nel Threat Detection Marketplace.
Tutti i rilevamenti sono compatibili con diverse soluzioni SIEM, EDR e Data Lake e mappati secondo il framework MITRE ATT&CK®. Ogni regola include metadati dettagliati, riferimenti a threat intelligence, timeline degli attacchi, raccomandazioni di triage e altro ancora.
Gli esperti di sicurezza possono inoltre ottimizzare le indagini utilizzando Uncoder AI, un IDE privato e co-pilot per la detection engineering basata su threat intelligence. Con Uncoder AI è possibile generare algoritmi di rilevamento da report di minaccia grezzi, effettuare sweep di IOC rapidi, prevedere tag ATT&CK, ottimizzare query con suggerimenti AI e tradurle tra diversi linguaggi SIEM, EDR e Data Lake. Ad esempio, i professionisti della sicurezza possono usare i dettagli della ricerca Aqua Nautilus per generare un Attack Flow v3 tramite la nuova versione avanzata di Uncoder AI, sfruttando la potenza di RAG con MITRE ATT&CK® v17.1.
Analisi del Malware Koske per Linux
L’intelligenza artificiale sta inaugurando una nuova ondata di minacce informatiche, offrendo agli attaccanti strumenti per raffinare e scalare le proprie tattiche. Allo stesso tempo, l’AI sta diventando il pilastro delle moderne strategie di difesa. Il futuro della cybersecurity sarà determinato da quanto efficacemente l’AI verrà integrata con altre tecnologie emergenti. Tuttavia, gli attori malevoli continuano a innovare, trovando nuove modalità per sfruttarla a proprio vantaggio.
I ricercatori di Aqua Nautilus hanno recentemente scoperto una nuova campagna che sfrutta una minaccia avanzata per Linux con tecniche sofisticate di evasione dei rilevamenti. Koske è un malware generato tramite AI, progettato per attività di mining di criptovalute. Le sue capacità adattive suggeriscono uno sviluppo assistito da LLM o framework automatizzati. Koske installa miner ottimizzati per CPU e GPU, sfruttando i sistemi infetti per minare oltre 18 criptovalute. I payload modulari, i rootkit stealth e la distribuzione tramite immagini weaponizzate rendono Koske un malware persistente e altamente adattabile. È stato osservato veicolato tramite ambienti JupyterLab configurati in modo errato.
La catena di infezione inizia con l’abuso di un server JupyterLab non protetto, che consente agli attaccanti di installare backdoor e scaricare due immagini JPEG da URL abbreviati. Questi file polyglot contengono payload malevoli appesi ai dati immagine, che vengono eseguiti direttamente in memoria eludendo l’antivirus. Un payload è codice C compilato in un rootkit, l’altro uno script shell che viene eseguito silenziosamente usando utility di sistema per garantire la persistenza.
L’accesso iniziale proviene da un IP serbo (178.220.112.53). Una volta compromesso il sistema, gli attaccanti utilizzano tecniche di evasione e persistenza potenziate dall’AI, tra cui la modifica dei file .bashrc e .bash_logout per eseguire script personalizzati, la manipolazione dell’avvio del sistema via /etc/rc.local e servizi systemd, e la programmazione di cron job. I payload sono nascosti in immagini dual-use ospitate su piattaforme legittime. I file polyglot utilizzano immagini JPEG di panda come esca, con shellcode malevolo appeso ai dati immagine, rendendoli estremamente difficili da rilevare.
Un secondo payload, estratto da un’immagine di panda, contiene codice C grezzo per un rootkit userland che intercetta la funzione readdir() tramite il meccanismo LD_PRELOAD. Questo rootkit nasconde file, directory e processi filtrando le voci in base a nomi specifici, utilizzando un PID memorizzato in /dev/shm/.hiddenpid. Intercettando le liste di directory dai comandi ls, ps o top, rende invisibili i componenti malevoli. Caricato tramite LD_PRELOAD o /etc/ld.so.preload, garantisce persistenza e stealth eludendo l’analisi forense.
Koske manipola le impostazioni di rete reimpostando le variabili proxy, svuotando le regole iptables, forzando DNS Cloudflare/Google e bloccando le modifiche con chattr +i, per garantire comunicazioni C2 stabili e bypassare i controlli DNS. Supporta 18 criptovalute, distribuendo miner ottimizzati CPU/GPU in base all’hardware e passando automaticamente ad altri coin o pool in caso di failure.
I commenti dettagliati, la logica modulare e la sintassi serba offuscata dello script suggeriscono uno sviluppo assistito da LLM, progettato per sembrare generico e ostacolare l’analisi. Come contromisure, si consiglia di monitorare modifiche non autorizzate a bash, riscritture DNS, nuovi servizi systemd e utilizzo anomalo di CPU/GPU. Inoltre, proteggere i container per bloccare payload polyglot, prevenire l’iniezione di rootkit nascosti e rafforzare la sicurezza di rete aiuta a difendere l’infrastruttura aziendale. I team di sicurezza dovrebbero anche applicare rilevamento anomalo basato su AI per identificare script con caratteristiche tipiche dell’LLM, come commenti verbosi e struttura modulare.
Koske rappresenta un punto di svolta allarmante nell’evoluzione dei malware: una minaccia automatizzata, furtiva, persistente e potenziata dall’AI. Per tenere il passo con questa corsa agli armamenti, le organizzazioni devono adottare misure di sicurezza comportamentali e contestuali per proteggere gli ambienti Linux moderni. SOC Prime offre una suite completa di soluzioni che unisce intelligenza artificiale, automazione, threat intelligence in tempo reale e capacità avanzate per aiutare le aziende a contrastare attacchi informatici sofisticati.
