疑似东北亚某国黑客使用Konni RAT恶意软件攻击欧盟目标

2022-07-31|

安全研究人员发现了一项新的高级威胁活动,该活动归因于APT37,这是东北亚某国黑客组织,针对捷克,波兰和其他欧洲国家的专业黑客组织。

在攻击活动中,黑客使用被称为Konni的恶意软件,这是一种远程访问木马(RAT),能够在目标主机建立持久性并执行权限提升。

自2014年以来,Konni一直与东北亚某国的网络攻击有关。Securonix的研究人员观察和分析了最新且仍在进行的活动,他们称之为STIFF#BIZON。

攻击始于网络钓鱼电子邮件,其中包含Word文档(missile.docx)和Windows快捷方式文件(_weapons.doc.lnk.lnk)的存档附件。

打开 LNK 文件时,运行代码以在 DOCX 文件中查找 base64 编码的 PowerShell 脚本,以建立 C2 通信并下载两个附加文件“武器.doc”和“wp.vbs”。

下载的文件是一个诱饵,据说是俄罗斯战地记者奥尔加·博热娃(Olga Bozheva)的报道。同时,VBS 文件在后台静默运行,以在主机上创建计划任务。此时,RAT后门已经加载并建立了连接,并能执行以下操作:

  • 捕获屏幕截图;
  • 提取存储在本地状态文件中的状态密钥以进行 cookie 数据库解密;
  • 从受害者的 Web 浏览器中提取保存的登录凭据;
  • 启动一个远程交互式 shell,该 shell 可以每 10 秒执行一次命令。

虽然攻击活动的战术和工具集(TTP)指向APT37,但Securonix强调不排除APT28(又名FancyBear)的可能性。APT组织经常进行假旗活动,试图模仿其他知名APT组织的TTP来掩盖其踪迹,并以此误导威胁分析师。因此,研究人员仅凭有限的证据链,导致错误归因的可能性较大。

参考链接:bleepingcomputer.com


标签: 文件 活动 研究人员 攻击 组织 某国 归因 东北亚 黑客 工具集
出处: https://www.toutiao.com/article/7123831514906886656/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护