- 9,316
- 18
- 8 Ноя 2022
Хакеры нашли способ незаметно проникать в компьютеры жертв и управлять ими.
Компания FortiGuard Labs обнаружила, что связанная с Северной Кореей группа APT-группа Konni Для просмотра ссылки Войдиили Зарегистрируйся в рамках текущей фишинговой кампании.
Konni Для просмотра ссылки Войдиили Зарегистрируйся Cisco Talos в 2017 году, однако троян Konni RAT существует с 2014 года и до 2017 года оставался незаметным, так как использовался в узконаправленных атаках. Троян удалённого доступа (Remote Access Trojan, RAT) Konni RAT умудрялся избегать обнаружения благодаря постоянному эволюционированию, способен выполнять произвольный код на целевых системах и красть данные.
В текущей кампании злоумышленники используют RAT-троян для извлечения информации и выполнения команд на устройствах жертв. В атаках используется документ Word с вредоносным макросом. Несмотря на дату создания документа в сентябре, деятельность на сервере управления и контроля (Command and Control, C2 ) продолжается по сей день, что видно из внутренней телеметрии.
При открытии документа появляется желтая строка с предложением «Включить содержимое». После включения макроса встроенный VBA запускает скрипт «check.bat» с параметром «vbHide», чтобы избежать появления окна командной строки у жертвы. Batch скрипт проводит проверки системы и обходит контроль учетных записей пользователя (User Account Control, UAC ). Затем скрипт выполняет действия по развертыванию DLL -файла, который собирает и эксфильтрует зашифрованные данные на C2-сервер.
Специалисты заключили, что полезная нагрузка Konni включает обход системы UAC и зашифрованное взаимодействие с C2-сервером, что позволяет злоумышленнику выполнять привилегированные команды. Поскольку вредоносный код продолжает развиваться, пользователям рекомендуется проявлять осторожность с подозрительными документами.
Компания FortiGuard Labs обнаружила, что связанная с Северной Кореей группа APT-группа Konni Для просмотра ссылки Войди
Konni Для просмотра ссылки Войди
В текущей кампании злоумышленники используют RAT-троян для извлечения информации и выполнения команд на устройствах жертв. В атаках используется документ Word с вредоносным макросом. Несмотря на дату создания документа в сентябре, деятельность на сервере управления и контроля (Command and Control, C2 ) продолжается по сей день, что видно из внутренней телеметрии.
При открытии документа появляется желтая строка с предложением «Включить содержимое». После включения макроса встроенный VBA запускает скрипт «check.bat» с параметром «vbHide», чтобы избежать появления окна командной строки у жертвы. Batch скрипт проводит проверки системы и обходит контроль учетных записей пользователя (User Account Control, UAC ). Затем скрипт выполняет действия по развертыванию DLL -файла, который собирает и эксфильтрует зашифрованные данные на C2-сервер.
Специалисты заключили, что полезная нагрузка Konni включает обход системы UAC и зашифрованное взаимодействие с C2-сервером, что позволяет злоумышленнику выполнять привилегированные команды. Поскольку вредоносный код продолжает развиваться, пользователям рекомендуется проявлять осторожность с подозрительными документами.
- Источник новости
- www.securitylab.ru
