Fortinet 研究人員發現了一個名為 Konni 的組織發起的網路間諜活動,該組織據信與北韓有關,該組織使用 Word 文件來攻擊 Windows 使用者。
Fortinet 的研究員 Cara Lin 發現有人試圖向受害者發送惡意的俄語 Microsoft Word 文件。罪魁禍首被認為是北韓一個名為 Konni 的組織,該文件旨在提出西方對一項特別軍事行動的評估,用作其包含的惡意活動的掩飾。
該攻擊使用基於巨集的惡意軟體,一旦激活,就會執行臨時批次腳本。該腳本執行基本功能,包括系統檢查,繞過使用者帳號控制設定(UAC),最後,部署資訊竊取DLL(動態連結庫)。
另請閱讀——北韓駭客2022年竊取了15.4億歐元的加密貨幣
駭客部署的有效負載包括遠端存取啟用 (RAT) 病毒,可更輕鬆地提取資料並在受感染的裝置上執行命令。該惡意軟體包括UAC繞過以及與命令和控制(C2)伺服器的加密通信,它允許駭客在受害者的電腦上執行命令。
Konni 因其針對俄羅斯實體的特定目標而聞名,使用魚叉式網路釣魚電子郵件和惡意文件作為存取目標端點的主要工具。該組織之前的攻擊已經證明了他們的適應性各種惡意軟體和工具,以避免所有類型的檢測。
Knowsec 和 ThreatMon 記錄的最近攻擊主要利用 WinRAR 漏洞 (CVE-2023-38831) 以及混淆的 Visual Basic 腳本來引入 Konni RAT 和能夠從受感染電腦收集資料的 Windows Batch 腳本。
科尼並不是唯一攻擊俄羅斯的朝鮮演員。卡巴斯基、微軟和 SentinelOne 收集的證據表明,該組織稱為ScarCruft(又稱 APT37)也針對商業公司和飛彈工程公司位於該國。
