新闻快讯
< >

利用KONNI木马攻击朝鲜的黑客或属于DarkHotel组织

E安全8月11日讯 据报道,身份不明的黑客组织使用远程访问木马KONNI攻击朝鲜组织机构。安全专家表示,2017年已发现三起针对朝鲜组织机构的攻击活动。

Cylance的安全专家表示,最近一起活动发生在7月,也就是在朝鲜最近成功试射洲际弹道导弹(ICBM)之后。研究人员表示,虽然这支黑客组织的动机不明,但似乎是对朝鲜事务感兴趣的目标实施网络间谍活动。

Cylance的研究人员表示,KONNI能隐藏在后台诱骗受害者执行有效载荷(Payload),这款恶意软件还具有键盘记录和截屏功能,从而让黑客窃取目标的数据。

Cylance研究人员指出,KONNI是一款相对较新的RAT,其使用的功能易于分析,并未绞尽脑汁隐藏自己的真实目的。利用社会工程技术和情报收集功能实施的攻击对受害实体造成的影响可能是毁灭性的,因为这些攻击都是利用用户的信任,这种方式甚至可以让攻击获得整个控制权。

据报道,最近两起活动中使用的诱饵文件显示,DarkHotel攻击和恶意软件KONNI之间存在关联。

KONNI远程访问木马

KONNI是一款远程访问木马(RAT),已设法秘密活动超过3年,主要针对与朝鲜有关的实体。这款木马过去几年不断发展,现目前包括以下几种主要功能:

  • 记录击键;

  • 窃取文件;

  • 捕捉截图;

  • 收集被感染设备数据。

Cisco Talos今年发现的其中一起活动:该活动包含名为——“Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr”的丢弃器(Dropper),执行时会打开Word文档。

“DarkHotel黑暗酒店”APT利用新方法攻击各类政治目标-E安全

Cylance的研究人员发现,诱饵文件“Pyongyang e-mail lists - April 2017”与近期一起DarkHotel(存在近十年的威胁组织)攻击活动使用的文件十分类似。

DarkHotel黑客组织

2014年11月,卡巴斯基发布报告详述了一起针对亚太地区商务旅行者的复杂网络间谍活动, DarkHotel从此浮出水面。

DarkHotel 成员似乎是韩国人,主要针对的目标包括朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、中国、美国、印度、莫桑比克、印度尼西亚和德国。

Bitdefender将新DarkHotel活动称为“Inexsmar”,该活动将目标瞄向对朝鲜感兴趣的政府工作人员。攻击使用的其中一个诱饵文件与KONNI攻击中使用的文件“Pyongyang e-mail lists - September 2016”十分相似,内容格式也一致。分析证实,标题均为“Pyongyang directory”的两个文件,作者均是“Divya Jacob”。

利用KONNI木马攻击朝鲜的黑客或属于DarkHotel组织-E安全利用KONNI木马攻击朝鲜的黑客或属于DarkHotel组织-E安全

Cylance对KONNI进行了详细分析。该公司的专家认为,由于最近的关注度较高,恶意软件开发人员将发布包更多功能的新变种。

相关阅读:

“DarkHotel黑暗酒店”APT利用新方法攻击各类政治目标

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。