自2014年来针对北韩的Stealthy RAT

关注 2017-05-05 16:37:17 查看数 18523 ,评论数 0 资讯
最近两次针对北韩政治和战略目标的间谍活动与恶意软件相关联,恶意软件在三年里面一直保持着隐藏。 思科的团队昨天发布了一份关于恶意软件Konni的报告。在4月份的两次攻击中攻击者放弃了Konni远程访问木马,转而使用了目标网络钓鱼邮件和诱饵文件。这样可以让攻击者在系统上安装其他恶意软件。Konni远程访问木马中含有数据窃取,键盘记录,截图捕获和任意代码执行的组件。 IMG_0364 思科表示,恶意软件主要活动是窃取信息而不是远程控制,被控制的机器上的动态库,使用了两个独立的二进制文件,而且恶意软件中添加了新功能以及更好的诱杀文件。 思科说,这些被攻击的目标有:朝鲜有关的大使馆成员,儿童基金会,联合国等公共组织。 攻击者使用Konni恶意软件时十分谨慎,最后的攻击是在前几天进行的。但是其恶意活动仍然活跃,其基础设施也还在由一个名为000webhost的合法免费网页托管着。 Cisco Talos技术主管Martin Lee表示:“事实上,威胁人员想完全清除在检测中留下的痕迹是非常困难的。” 思科在四月份发现了两个近期的恶意广告软件系列。例如,攻击从包含恶意附件的网络钓鱼邮件作为初始感染源,主要是诱骗受害者打开一个.src文件。 四月份的运动主要针对的是有关北韩的公共组织,如政府机构和大使馆,,其中包含使馆官员或联合国和儿童基金会成员的联系信息。这个.src文件将可执行文件和动态库静默安装在电脑中,并使用LNK文件来维护持久性。除了窃取系统信息,上传文件,删除文件,从互联网下载代码和执行命令之外,这些恶意广告软件系列还更新了能够抓取截图的恶意软件版本。 思科说主要有两个命令和控制域,Pactchfilepacks[.]net23[.]net 和checkmail[.]phpnet[.]us,而且这些攻击至今仍然活跃着。思科在其报告中还发布了四起攻击的规矩指标。 “归因总是困难的。我们可以识别恶意软件,但是我们不一定可以知道谁是背后的人,或他们为谁工作。我们可以肯定地说,这似乎是针对韩国的长期运动。““诱饵文件的性质表明了一定程度的社会工程学和有目标的针对受害者。但与此同时,恶意软件并不是特别先进。“ 两年后的今天,这个恶意活动的主要行为变成了诱饵文件,这些攻击是第一次使用两个二进制文件,并将恶意软件放入与第一次攻击不同的目录中,并在dowhelsitjs[.]netau[.]net.上连接到新的C2服务器。远程管理功能首先出现在2016年的恶意行为中,具有文件上传和命令执行功能。思科表示,此运动中使用恶意软件查找使用Konni以前版本创建的文件名,表示攻击者可能针对同一受害者。  

*来源:threatpost,MottoIN整理发布

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...