11,6 тыс подписчиков

Сложная атака от Konni APT: новые угрозы для Южной Кореи

24 апреля 202524 апр 2025

2 мин

Недавно специалисты по кибербезопасности зафиксировали новую вредоносную кампанию, инициированную группировкой Konni APT, характерную сложной многоэтапной стратегией атаки. Эта кампания расчитана на корейскоязычных пользователей и использует эффективные техники социальной инженерии. Атака начинается с ZIP-архива, содержащего файл .lnk, названный корейским словом, означающим «предложение». Этот файл маскируется под PDF-документ, что делает его особенно привлекательным для жертв, не обладающих глубокими техническими знаниями. При открытии файла .lnk запускается запутанный скрипт PowerShell, который был специально разработан для избегания обнаружения. Он использует: Созданный PDF-файл-приманка отвлекает пользователей, выдавая себя за законное предложение, в то время как вредоносное ПО работает скрытно. В документе также содержатся ссылки на чат-комнату KakaoTalk с упоминанием популярных южнокорейских брендов, таких как Naver и Coupang, что усиливает его обманчивый характер. Эта кампания н

Оглавление

Старт кампании: ZIP-архив и файл .lnk
Скрытые методы и вредоносный код
Методы атаки и структура вредоносной программы

Старт кампании: ZIP-архив и файл .lnk

Атака начинается с ZIP-архива, содержащего файл .lnk, названный корейским словом, означающим «предложение». Этот файл маскируется под PDF-документ, что делает его особенно привлекательным для жертв, не обладающих глубокими техническими знаниями.

Скрытые методы и вредоносный код

При открытии файла .lnk запускается запутанный скрипт PowerShell, который был специально разработан для избегания обнаружения. Он использует:

Случайные имена переменных для скрытия своего истинного назначения,
Методы обхода, чтобы ввести в заблуждение аналитиков безопасности,
Команды для манипуляции именами файлов, удаления запущенных компонентов и извлечения скрытых полезных данных.

Созданный PDF-файл-приманка отвлекает пользователей, выдавая себя за законное предложение, в то время как вредоносное ПО работает скрытно. В документе также содержатся ссылки на чат-комнату KakaoTalk с упоминанием популярных южнокорейских брендов, таких как Naver и Coupang, что усиливает его обманчивый характер.

Методы атаки и структура вредоносной программы

Эта кампания налагает важные корреляции с предыдущими операциями Konni APT, в которых злоумышленники часто используют знакомства, чтобы завоевать доверие своих целей. Вредоносная программа активно собирает данные, списки каталогов и системную информацию, передавая эти сведения на скомпрометированный сервер управления (C2), идентифицируемый как ausbildungsbuddy.de.

Кампания включает в себя ряд заметных методов атаки, таких как:

Использование файлов .lnk для создания оружия,
Выполнение с помощью запутанных PowerShell и пакетных сценариев,
Методы сохранения, гарантирующие, что полезная нагрузка остается активной даже после перезагрузки системы.

Заключение: постоянная угроза для организаций

Таким образом, данная кампания не только иллюстрирует фирменные методы группы Konni APT, но и подчеркивает их неизменную нацеленность на использование надежных инфраструктур для осуществления своих действий. Выбор тактики социальной инженерии в сочетании с передовыми технологиями вредоносного ПО указывает на постоянную угрозу, особенно для организаций в финансовом, правительственном и оборонном секторах Южной Кореи.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Сложная атака от Konni APT: новые угрозы для Южной Кореи".