Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi udgivet i Zero Day den 27. januar 2022 | Emne: Sikkerhed
Konni Remote Access Trojan (RAT) har for nylig modtaget “betydelige” opdateringer, siger forskere, som også opfordrer samfundet til at holde et vågent øje med malwaren.
Onsdag offentliggjorde cybersikkerhedsfirmaet Malwarebytes en meddelelse om malwarens seneste udvikling og bemærkede, at trojaneren er under aktiv udvikling, hvilket resulterer i “store” ændringer.
Konni er blevet opdaget i naturen i omkring otte år. En rapport om malware udgivet af BlackBerry i 2017 sagde, at malwaren gjorde brug af “grundlæggende” antianalyseteknikker og blev brugt til overvågningsformål snarere end de typiske økonomiske angreb, der ofte er forbundet med RAT'er.
Tidligere kampagner har antydet stærkt en forbindelse med Nordkorea. Phishing-dokumenter, der bruges til at sprede trojaneren, har en tendens til at have temaer forbundet med Eremitkongeriget, herunder indhold relateret til missilkapaciteter, brintbomber og artikler kopieret fra Yonhap-nyhedsbureauet, der talte om landet.
De vedhæftede dokumenter indeholdt nyttelasten, og når først de blev udført på en sårbar Windows-maskine, ville Konni indsamle data gennem filgreb, tastetrykslogfiler og skærmoptagelse.
Konni menes at være værket af Kimsuky-trusselsgruppen, som har angrebet sydkoreanske tænketanke, politiske grupper i Rusland og enheder i både Japan og USA.
Ifølge Malwarebytes har den gamle trojaner nu udviklet sig til en “snupere” version af sig selv. Nye eksempler viser, at phishing-angrebsvektoren primært er forblevet den samme – med nyttelasten implementeret gennem ondsindede Office-dokumenter – men trojaneren, en .DLL-fil knyttet til en .ini-fil, indeholder nu revideret funktionalitet.
Ældre versioner af RAT var afhængige af to grene til at udføre ved hjælp af en Windows-tjeneste: svchost.exe og rundll32.exe strenge. Malwarebytes forklarede:
“Nye prøver vil ikke vise disse strenge. Faktisk er rundll ikke længere en gyldig måde at udføre prøven på. I stedet, når et eksekveringsforsøg forekommer ved hjælp af rundll, bliver der kastet en undtagelse i tidlige stadier.”
Malwaren er også gået fra base64-kodning til AES-kryptering for at beskytte dens strenge og til sløringsformål. Derudover bruger Konni nu AES, når konfigurations- og supportfiler slettes – såsom .ini-filen, der indeholder kommando-og-kontrol-serveradressen (C2) – samt når filer sendes til C2.
En hidtil ukendt pakker blev også brugt af nogle nylige Konni-prøver, men trusselsdata indsamlet af cybersikkerhedsfirmaet antyder, at den muligvis er blevet udeladt af scenarier i den virkelige verden.
“Som vi har set, er Konni langt fra at blive forladt,” kommenterede Malwarebytes. “Forfatterne laver konstant kodeforbedringer. Efter vores synspunkt er deres indsats rettet mod at bryde det typiske flow registreret af sandkasser og gøre detektion sværere, især via almindelige signaturer, da kritiske dele af den eksekverbare nu er krypteret.”
Tidligere denne måned dokumenterede Cisco Talos en nylig kampagne, hvor cloud-infrastruktur leveret af leverandører, herunder Microsoft Azure og Amazon Web Services (AWS), blev misbrugt til at sprede kommercielle RAT'er.
Stammene inklusive Nanocore, Netwire og AsyncRAT blev implementeret af operatørerne, som også misbrugte DuckDNS for at lette download af ondsindede pakker.
Tidligere og relateret dækning
Denne farlige mobile trojaner har stjålet en formue fra over 10 millioner ofre
Ny banktrojaner SharkBot slår bølger over hele Europa, USA
Fjernadgangstrojanske heste spredt gennem Microsoft Misbrug af Azure, AWS-skytjeneste
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre