Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Word - новый канал для трояна Konni

28/11/23

Banner

Компания FortiGuard Labs обнаружила, что связанная с Северной Кореей группа APT-группа Konni использует заражённый документ Word в рамках текущей фишинговой кампании. Об этом пишет Securitylab.

Konni впервые была обнаружена Cisco Talos в 2017 году, однако троян Konni RAT существует с 2014 года и до 2017 года оставался незаметным, так как использовался в узконаправленных атаках. Троян удалённого доступа (Remote Access Trojan, RAT) Konni RAT умудрялся избегать обнаружения благодаря постоянному эволюционированию, способен выполнять произвольный код на целевых системах и красть данные.

В текущей кампании злоумышленники используют RAT-троян для извлечения информации и выполнения команд на устройствах жертв. В атаках используется документ Word с вредоносным макросом. Несмотря на дату создания документа в сентябре, деятельность на сервере управления и контроля (Command and Control, C2) продолжается по сей день, что видно из внутренней телеметрии.

При открытии документа появляется желтая строка с предложением «Включить содержимое». После включения макроса встроенный VBA запускает скрипт «check.bat» с параметром «vbHide», чтобы избежать появления окна командной строки у жертвы. Batch скрипт проводит проверки системы и обходит контроль учетных записей пользователя (User Account Control, UAC). Затем скрипт выполняет действия по развертыванию DLL-файла, который собирает и эксфильтрует зашифрованные данные на C2-сервер.

Специалисты заключили, что полезная нагрузка Konni включает обход системы UAC и зашифрованное взаимодействие с C2-сервером, что позволяет злоумышленнику выполнять привилегированные команды. Поскольку вредоносный код продолжает развиваться, пользователям рекомендуется проявлять осторожность с подозрительными документами.

Темы:УгрозытрояныWordFortiGuard
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...