KONNI: złośliwe oprogramowanie powraca

dodano: 2020-08-25 21:50
autor: HP | źródło: Bitdefender/CISA/Darkreading

Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie przed kampanią phishingową używaną do infekowania komputerów złośliwym oprogramowaniem KONNI, które powraca w zmodyfikowanej wersji.

CISA ostrzega przed wiadomościami phishingowymi z załączonymi dokumentami Microsoft Word, które zawierają złośliwy kod makra Visual Basic Application (VBA). Po uruchomieniu makra kod pobiera i instaluje malware KONNI. Microsoft Word zawiera funkcje automatyzacji makr, które znajdują szereg zastosowań. Niestety, bardzo chętnie wykorzystują je również hakerzy, aby uzyskać zdalny dostęp do atakowanych komputerów.

Malware KONNI pełni rolę narzędzia do zdalnej administracji i służy do kradzieży plików, robienia zrzutów ekranu, monitorowania i rejestrowania klawiszy oraz infekowania innych hostów w tej samej sieci.

– Najlepszym sposobem ochrony przed tego typu atakami jest zainstalowanie i aktualizowanie rozwiązania zabezpieczającego. Nie należy też otwierać załączników z nieznanych źródeł i domyślnie wyłączać funkcję Makro. Warto podkreślić, że w tym przypadku mamy do czynienia z bardzo groźnym malwarem, który wcześniej był wykorzystywany do ataków ukierunkowanych – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Malware KONNI to również zdalna administracja Windows, która była używana od 2014 roku i ewoluowała w swoich możliwościach przez co najmniej 2017. KONNI był powiązany z kilkoma kampaniami obejmującymi motywy północnokoreańskie. KONNI w znacznym stopniu pokrywa się z kodem rodziny złośliwego oprogramowania NOKKI . Istnieją dowody potencjalnie łączące KONNI z APT37. 

CISA informuje w swoim poradniku w jaki sposób przebiega infekcja komputera ofiary.
Makro VBA używa narzędzia bazy danych certyfikatów CertUtil do pobierania plików zdalnych z Uniform Resource Locator. Narzędzie zawiera też funkcję dekodowania plików zakodowanych w standardzie base64. Wiersz polecenia po kryjomu kopiuje certutil.exe do katalogu tymczasowego i zmienia jego nazwę, aby uniknąć wykrycia. Następnie haker pobiera plik tekstowy ze zdalnego zasobu zawierający ciąg zakodowany w base64, który jest dekodowany przez CertUtil i zapisywany jako plik wsadowy (.BAT). Ostatecznie napastnik usuwa plik tekstowy z katalogu tymczasowego i wykonuje plik .BAT.

Źródło: cisa.gov  darkreading.com 

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.

• Tysiące telewizorów LG zostało zhakowanych
• Uwaga na quishing - niebezpieczne kody QR
• Uważaj na fałszywe wiadomości na Facebooku
• Genialny sposób na ominięcie reklam na YouTube
• ACE zamknęło tt-torrent.com

Więcej z kategorii Aplikacje

HOLLEX.PL - Twój sklep internetowy