Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Многоступенчатая угроза: анализ Konni APT group

3
2 мин
Недавнее исследование выявило сложный механизм доставки вредоносного ПО, используемый группировкой Konni APT group. Этот механизм, который мы детально рассмотрим в данной статье, представляет собой многоступенчатый процесс, основанный на использовании целевого LNK-файла, который становится начальной точкой для атаки. Исходный код LNK-файла, о котором идет речь, имеет несколько ключевых особенностей: После выполнения этот LNK-файл переходит к следующим этапам, загружая полезную информацию. При обнаружении целевого LNK-файла вредоносная программа выполняет следующие шаги: Для обеспечения постоянства работы используется планировщик задач, который инициирует запуск каждые пять минут под видом задачи AGMicrosoftEdgeUpdateExpanding. Дальнейший анализ показывает, что скрипт E.PS1 располагает такими функциями: Значительный интерес представляет второй извлеченный файл AN9385.tmp, который является более традиционным скриптом PowerShell. Он: Таким образом, кампания Konni APT group демонстрирует в
Оглавление

Недавнее исследование выявило сложный механизм доставки вредоносного ПО, используемый группировкой Konni APT group. Этот механизм, который мы детально рассмотрим в данной статье, представляет собой многоступенчатый процесс, основанный на использовании целевого LNK-файла, который становится начальной точкой для атаки.

Структура вредоносного LNK-файла

Исходный код LNK-файла, о котором идет речь, имеет несколько ключевых особенностей:

  • Подключение к серверу управления (C2), размещенному на Dropbox.
  • Содержит незашифрованные разделы, в которых скрыт исходный вредоносный код.
  • Использует символ mshta.exe для выполнения HTA-файлов или JavaScript.

После выполнения этот LNK-файл переходит к следующим этапам, загружая полезную информацию.

Работа вредоносного кода

При обнаружении целевого LNK-файла вредоносная программа выполняет следующие шаги:

  1. Пропускает заданное количество байт и извлекает данные в виде байт-кода.
  2. Сохраняет байт-код в качестве скрипта PowerShell (E.PS1) в каталоге C:ProgramData.
  3. Устанавливает канал связи с вредоносным IP-адресом (64.20.59.148) через порты 8855 и 6699.
  4. Загружает ZIP-файл (gs.zip), содержащий дополнительные вредоносные файлы.

Для обеспечения постоянства работы используется планировщик задач, который инициирует запуск каждые пять минут под видом задачи AGMicrosoftEdgeUpdateExpanding.

Последующие действия и дополнительные вредоносные компоненты

Дальнейший анализ показывает, что скрипт E.PS1 располагает такими функциями:

  • Извлечение данных в формате Base64 и их обработка.
  • Выполнение JavaScript-файла с запутанным кодом для выполнения вредоносных команд PowerShell.

Значительный интерес представляет второй извлеченный файл AN9385.tmp, который является более традиционным скриптом PowerShell. Он:

  1. Взаимодействует с сервером C2 для последовательной загрузки вредоносных файлов с Google Диска.
  2. Сохраняет загруженные файлы в папке C:ProgramData.
  3. Удаляет завершенные загрузки с сервера C2 и пересылает выходные данные на сервер перед удалением файлов из системы жертвы.

Таким образом, кампания Konni APT group демонстрирует высокую степень сложности и разнообразия в методах доставки вредоносного ПО, что ставит под угрозу безопасность данных и пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Многоступенчатая угроза: анализ Konni APT group".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Бизнес и финансы
1,13 млн интересуются