據(jù)報道,身份不明的黑客組織使用遠程訪問木馬KONNI攻擊朝鮮組織機構。安全專家表示,2017年已發(fā)現(xiàn)三起針對朝鮮組織機構的攻擊活動。
Cylance的安全專家表示,最近一起活動發(fā)生在7月,也就是在朝鮮最近成功試射洲際彈道導彈(ICBM)之后。研究人員表示,雖然這支黑客組織的動機不明,但似乎是對朝鮮事務感興趣的目標實施網(wǎng)絡間諜活動。
Cylance的研究人員表示,KONNI能隱藏在后臺誘騙受害者執(zhí)行有效載荷(Payload),這款惡意軟件還具有鍵盤記錄和截屏功能,從而讓黑客竊取目標的數(shù)據(jù)。
Cylance研究人員指出,KONNI是一款相對較新的RAT,其使用的功能易于分析,并未絞盡腦汁隱藏自己的真實目的。利用社會工程技術和情報收集功能實施的攻擊對受害實體造成的影響可能是毀滅性的,因為這些攻擊都是利用用戶的信任,這種方式甚至可以讓攻擊獲得整個控制權。
據(jù)報道,最近兩起活動中使用的誘餌文件顯示,DarkHotel攻擊和惡意軟件KONNI之間存在關聯(lián)。
KONNI遠程訪問木馬KONNI是一款遠程訪問木馬(RAT),已設法秘密活動超過3年,主要針對與朝鮮有關的實體。這款木馬過去幾年不斷發(fā)展,現(xiàn)目前包括以下幾種主要功能:
記錄擊鍵;
竊取文件;
捕捉截圖;
收集被感染設備數(shù)據(jù)。
Cisco Talos今年發(fā)現(xiàn)的其中一起活動:該活動包含名為——“Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr”的丟棄器(Dropper),執(zhí)行時會打開Word文檔。
Cylance的研究人員發(fā)現(xiàn),誘餌文件“Pyongyang e-mail lists - April 2017”與近期一起DarkHotel(存在近十年的威脅組織)攻擊活動使用的文件十分類似。
DarkHotel黑客組織2014年11月,卡巴斯基發(fā)布報告詳述了一起針對亞太地區(qū)商務旅行者的復雜網(wǎng)絡間諜活動, DarkHotel從此浮出水面。
DarkHotel 成員似乎是韓國人,主要針對的目標包括朝鮮、俄羅斯、韓國、日本、孟加拉國、泰國、中國、美國、印度、莫桑比克、印度尼西亞和德國。
Bitdefender將新DarkHotel活動稱為“Inexsmar”,該活動將目標瞄向對朝鮮感興趣的政府工作人員。攻擊使用的其中一個誘餌文件與KONNI攻擊中使用的文件“Pyongyang e-mail lists - September 2016”十分相似,內容格式也一致。分析證實,標題均為“Pyongyang directory”的兩個文件,作者均是“Divya Jacob”。
Cylance對KONNI進行了詳細分析。該公司的專家認為,由于最近的關注度較高,惡意軟件開發(fā)人員將發(fā)布包更多功能的新變種。