Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi publicerad i Zero Day den 27 januari 2022 | Ämne: Säkerhet
Konni Remote Access Trojan (RAT) har nyligen fått “betydande” uppdateringar, säger forskare, som också uppmanar samhället att hålla ett öga på skadlig programvara.
På onsdagen publicerade cybersäkerhetsföretaget Malwarebytes en råd om skadlig programvaras senaste utveckling, och noterade att trojanen är under aktiv utveckling vilket resulterar i “stora” förändringar.
Konni har upptäckts i naturen i ungefär åtta år. En rapport om skadlig programvara som publicerades av BlackBerry 2017 sa att skadlig programvara använde sig av “grundläggande” antianalystekniker och användes för övervakningsändamål, snarare än de typiska finansiella attacker som ofta är kopplade till RAT.
Tidigare kampanjer har antydt starkt en koppling till Nordkorea. Nätfiskedokument som används för att sprida trojanen tenderar att ha teman kopplade till Eremitriket, inklusive innehåll som rör missilkapacitet, vätebomber och artiklar kopierade från Yonhap-nyhetsbyrån som pratade om landet.
De bifogade dokumenten innehöll nyttolasten, och när de väl körts på en sårbar Windows-dator samlade Konni in data genom filgrepp, tangenttryckningsloggar och skärmdumpning.
Konni tros vara verk av Kimsuky-hotgruppen, som har attackerat sydkoreanska tankesmedjor, politiska grupper i Ryssland och enheter i både Japan och USA.
Enligt Malwarebytes har den gamla trojanen nu utvecklats till en “smygande” version av sig själv. Nya exempel visar att nätfiske-attackvektorn i första hand har förblivit densamma – med nyttolasten distribuerad genom skadliga Office-dokument – men trojanen, en .DLL-fil kopplad till en .ini-fil, innehåller nu reviderad funktionalitet.
Äldre versioner av RAT förlitade sig på två grenar för att köra med en Windows-tjänst: svchost.exe och rundll32.exe-strängar. Malwarebytes förklarade:
“Nya prover kommer inte att visa dessa strängar. Faktum är att rundll inte längre är ett giltigt sätt att exekvera provet. Istället, när ett exekveringsförsök sker med rundll, kastas ett undantag i tidiga stadier.”
Skadlig programvara har också övergått från base64-kodning till AES-kryptering för att skydda dess strängar och för förvirringsändamål. Dessutom använder Konni nu AES när konfigurations- och supportfiler släpps – till exempel .ini-filen som innehåller kommando-och-kontroll-serveradressen (C2) – såväl som när filer skickas till C2.
En tidigare okänd packer användes också av några nya Konni-prover, men hotdata som samlats in av cybersäkerhetsföretaget tyder på att det kan ha utelämnats från verkliga scenarier.
“Som vi har sett är Konni långt ifrån övergiven”, kommenterade Malwarebytes. “Författarna gör ständigt kodförbättringar. Enligt vår synvinkel är deras ansträngningar inriktade på att bryta det typiska flödet som registreras av sandlådor och göra upptäckten svårare, särskilt via vanliga signaturer eftersom kritiska delar av den körbara filen nu krypteras.”
Tidigare denna månad dokumenterade Cisco Talos en nyligen genomförd kampanj där molninfrastruktur från leverantörer inklusive Microsoft Azure och Amazon Web Services (AWS) missbrukades för att sprida kommersiella RAT:er.
Stammar inklusive Nanocore, Netwire och AsyncRAT distribuerades av operatörerna, som också missbrukade DuckDNS för att underlätta nedladdningen av skadliga paket.
Tidigare och relaterad bevakning
Den här farliga mobiltrojanen har stulit en förmögenhet från över 10 miljoner offer
Ny banktrojan SharkBot gör vågor över Europa, USA
Fjärråtkomsttrojaner sprids via Microsoft Missbruk av Azure, AWS molntjänst
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter