Написать пост

Обнаружена малварь KONNI, нацеленная на Северную Корею

Аватар Дмитрий Юрченко

Обнаружена малварь KONNI, использованная для слежки за официальными представителями Северной Кореи. Кто является инициатором атаки, пока неизвестно.

Исследователи в области безопасности из Cisco Talos столкнулись с новым семейством вредоносных программ, которые использовались для слежки за различными официальными лицами и организациями, связанными с Северной Кореей. Оно получило название KONNI.

Так, и что это за KONNI?

Исследователи обнаружили четыре различных случая применения KONNI: один произошёл в 2014 году, один — в 2016 году и два — в 2017 году. Изучив старые образцы KONNI, они выяснили, что группа, стоящая за этим вредоносным ПО, постепенно улучшала его, добавляя новые функции к каждой новой атаке.

По словам экспертов, вредоносное ПО превратилось из простого исполнителя, который мог только выгружать данные из буфера обмена и браузера, в полнофункциональный троян удалённого доступа (Remote Access Trojan, RAT), который может делать скриншоты, загружать и выполнять файлы и запускать команды оболочки по требованию.

Вектор распространения — это фишинг-письма, содержащие SRC-файлы. Открытие этих SRC-файлов загружает документ-приманку, а также вредоносное ПО на компьютер жертвы.

А что с Северной Кореей?

Фишинговые письма, используемые в этих нападениях, адресовались членам официальных организаций: ООН, ЮНИСЕФ и посольств Северной Кореи.

Довольно редко можно увидеть вредоносные программы, нацеленные на людей, связанных с Северной Кореей. В последние годы хакеров из Северной Кореи, таких как Lazarus Group, связывали с несколькими кибершпионскими кампаниями, нацеленными на запад.

Например, им приписывали взломы Sony и серию атак против банков по всему миру. Наиболее известными из этих банковских ограблений являются те, которые были проведены в 2016 году и которые были направлены на банковскую систему SWIFT.

Конечно, тот факт, что KONNI использовалась против официальных представителей Северной Кореи, не гарантирует, что атака проводилась извне. Возможно, хакерские группировки, возможно, спонсируемые государством, просто хотят контролировать их действия.

Кстати, прошлой осенью в результате ошибки в DNS стал доступен полный список сайтов Северной Кореи — угадаете, сколько их?

Следите за новыми постами
Следите за новыми постами по любимым темам
321 открытий321 показов