Fortinet 研究人员发现了一个名为 Konni 的组织发起的网络间谍活动,该组织据信与朝鲜有关,该组织使用 Word 文档来攻击 Windows 用户。
Fortinet 研究员 Cara Lin 发现有人试图向受害者发送恶意俄语 Microsoft Word 文档。罪魁祸首被认为是朝鲜一个名为 Konni 的组织,该文件旨在提出西方对一项特别军事行动的评估,用作其包含的恶意活动的掩饰。
该攻击使用基于宏的恶意软件,一旦激活,就会执行临时批处理脚本。该脚本执行基本功能,包括系统检查,绕过用户帐户控制设置(UAC),最后,部署信息窃取DLL(动态链接库)。
另请阅读——朝鲜黑客2022年窃取了15.4亿欧元的加密货币
黑客部署的有效负载包括远程访问启用 (RAT) 病毒,可以更轻松地提取数据并在受感染的设备上执行命令。该恶意软件包括UAC绕过以及与命令和控制(C2)服务器的加密通信,它允许黑客在受害者的电脑上执行命令。
Konni 因其针对俄罗斯实体的特定目标而闻名,使用鱼叉式网络钓鱼电子邮件和恶意文档作为访问目标端点的主要工具。该组织之前的攻击已经证明了他们的适应性各种恶意软件和工具,以避免所有类型的检测。
Knowsec 和 ThreatMon 记录的最近攻击主要利用 WinRAR 漏洞 (CVE-2023-38831) 以及混淆的 Visual Basic 脚本来引入 Konni RAT 和能够从受感染计算机收集数据的 Windows Batch 脚本。
科尼并不是唯一攻击俄罗斯的朝鲜演员。卡巴斯基、微软和 SentinelOne 收集的证据表明,该组织称为ScarCruft(又名 APT37)还针对商业公司和导弹工程公司位于该国。
