11,6 тыс подписчиков

Гибкие схемы кибератак: анализ действий Konni

14 марта 202514 мар 2025

2 мин

Недавний отчет предоставляет детальный анализ кибератаки, приписываемой северокорейской хакерской группе Konni. Особое внимание уделяется использованию файлов LNK в качестве исходных каналов распространения вредоносного ПО. В процессе расследования была задействована функция поиска VirusTotal для анализа этих файлов, что позволило выявить ключевые аспекты работы злоумышленников. Группа Konni использовала различные платформы для распространения своего вредоносного ПО, среди которых: Основной вредоносной программой, использованной этой группой, был AsyncRAT. Изменения в последней версии программы позволили задать IP-адрес и порт в качестве аргументов выполнения, что увеличивает гибкость и усложняет отслеживание злоумышленников. Анализ показал, что файлы LNK выполняли сложные команды через скрипты PowerShell, которые были спрятаны в метаданных файла. В этом процессе были: Подтвержденный файл G3892.tmp – это вредоносная программа на базе PowerShell, использующая аналогичную технику обфуска

Оглавление

Способы распространения вредоносного ПО
Исследование файлов LNK
Инфраструктура и координация атак

Недавний отчет предоставляет детальный анализ кибератаки, приписываемой северокорейской хакерской группе Konni. Особое внимание уделяется использованию файлов LNK в качестве исходных каналов распространения вредоносного ПО. В процессе расследования была задействована функция поиска VirusTotal для анализа этих файлов, что позволило выявить ключевые аспекты работы злоумышленников.

Способы распространения вредоносного ПО

Группа Konni использовала различные платформы для распространения своего вредоносного ПО, среди которых:

Dropbox
Google Диск
Сервер управления (C&C)

Основной вредоносной программой, использованной этой группой, был AsyncRAT. Изменения в последней версии программы позволили задать IP-адрес и порт в качестве аргументов выполнения, что увеличивает гибкость и усложняет отслеживание злоумышленников.

Исследование файлов LNK

Анализ показал, что файлы LNK выполняли сложные команды через скрипты PowerShell, которые были спрятаны в метаданных файла. В этом процессе были:

Сохранены и выполнены вредоносные сценарии;
Загружены дополнительные вредоносные программы из инфраструктуры C&C.

Подтвержденный файл G3892.tmp – это вредоносная программа на базе PowerShell, использующая аналогичную технику обфускации. Она подключалась к API Google Диска для ведения журнала заражения и загрузки дополнительных вредоносных программ.

Инфраструктура и координация атак

Отчет также анализирует характер задействованных серверов C&C, включая адрес 206.206.127.152, использующийся с прошлого года. Злоумышленники применяли:

Установленный доменный хостинг;
Аномальные модели поведения вредоносного ПО;
Инфраструктуру, использованную в предыдущих фишинговых атаках.

Кроме того, обнаружены фишинговые электронные письма, связанные с другим IP-адресом 74.50.94.175, что указывает на скоординированный подход группы Konni к компрометации целевых систем.

Стратегический подход к методам доставки вредоносных программ

Выводы отчета указывают на стратегический подход Konni к методам доставки вредоносных программ, подчеркивая:

Гибкость, достигнутую за счет отказа от жесткого кодирования;
Динамическую передачу параметров выполнения;
Усложнение отслеживания действий злоумышленников.

С целью снижения рисков, связанных с подобными сложными хакерами, рекомендуется:

Проявлять постоянную бдительность в отслеживании тактики фишинга;
Применять надежные меры безопасности электронной почты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Гибкие схемы кибератак: анализ действий Konni".

Кибербезопасность

25,6 тыс интересуются