利用KONNI木馬攻擊朝鮮的黑客或屬於DarkHotel組織

E安全8月11日訊 據報道，身份不明的黑客組織使用遠程訪問木馬KONNI攻擊朝鮮組織機構。安全專家表示，2017年已發現三起針對朝鮮組織機構的攻擊活動。

Cylance的安全專家表示，最近一起活動發生在7月，也就是在朝鮮最近成功試射洲際彈道導彈（ICBM）之後。研究人員表示，雖然這支黑客組織的動機不明，但似乎是對朝鮮事務感興趣的目標實施網路間諜活動。

Cylance的研究人員表示，KONNI能隱藏在後台誘騙受害者執行有效載荷（Payload），這款惡意軟體還具有鍵盤記錄和截屏功能，從而讓黑客竊取目標的數據。

Cylance研究人員指出，KONNI是一款相對較新的RAT，其使用的功能易於分析，並未絞盡腦汁隱藏自己的真實目的。利用社會工程技術和情報收集功能實施的攻擊對受害實體造成的影響可能是毀滅性的，因為這些攻擊都是利用用戶的信任，這種方式甚至可以讓攻擊獲得整個控制權。

據報道，最近兩起活動中使用的誘餌文件顯示，DarkHotel攻擊和惡意軟體KONNI之間存在關聯。

KONNI遠程訪問木馬

KONNI是一款遠程訪問木馬（RAT），已設法秘密活動超過3年，主要針對與朝鮮有關的實體。這款木馬過去幾年不斷發展，現目前包括以下幾種主要功能：

• 記錄擊鍵；

• 竊取文件；

• 捕捉截圖；

• 收集被感染設備數據。

Cisco Talos今年發現的其中一起活動：該活動包含名為——「Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr」的丟棄器（Dropper），執行時會打開Word文檔。

Cylance的研究人員發現，誘餌文件「Pyongyang e-mail lists - April 2017」與近期一起DarkHotel（存在近十年的威脅組織）攻擊活動使用的文件十分類似。

DarkHotel黑客組織

2014年11月，卡巴斯基發布報告詳述了一起針對亞太地區商務旅行者的複雜網路間諜活動， DarkHotel從此浮出水面。

DarkHotel 成員似乎是韓國人，主要針對的目標包括朝鮮、俄羅斯、韓國、日本、孟加拉國、泰國、、美國、印度、莫三比克、印度尼西亞和德國。

Bitdefender將新DarkHotel活動稱為「Inexsmar」，該活動將目標瞄向對朝鮮感興趣的政府工作人員。攻擊使用的其中一個誘餌文件與KONNI攻擊中使用的文件「Pyongyang e-mail lists - September 2016」十分相似，內容格式也一致。分析證實，標題均為「Pyongyang directory」的兩個文件，作者均是「Divya Jacob」。

Cylance對KONNI進行了詳細分析。該公司的專家認為，由於最近的關注度較高，惡意軟體開發人員將發布包更多功能的新變種。

相關閱讀：

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱[email protected]

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。