Malware KONNI se skrýval 3 roky

Pavel Houser , 15. květen 2017 11:28 0 komentářů
Rubriky: Security

Průvodní kampaně při šíření tohoto malwaru operují především s tématy kolem Severní Koreje.

Bezpečnostní tým Cisco Talos odhalil celkem 4 kampaně dosud neobjeveného malwaru, který dostal jméno KONNI. Ten se dokázal úspěšně maskovat od roku 2014. Zpočátku se malware zaměřoval pouze na krádeže citlivých dat. Za 3 roky se ale několikrát vyvinul, přičemž jeho současná verze umožňuje útočníkovi z infikovaného počítače nejenom krást data, ale funguje také jako keylogger, zaznamenává screenshoty a je schopen v zařízení spustit libovolný kód.

KONNI se šířil e-mailem. Na rozdíl od velkých spamových kampaní, jako je například šíření ransomwaru Locky, cílil na přesněji vybrané cíle. Útočníci využívali i sociálního inženýrství, aby přiměli své oběti otevřít soubor ve formátu .scr a stáhnout si infikovaný soubor. Celkem 4 kampaně proběhly postupně v letech 2014, 2016 a dvě v roce 2017.

Kampaň 2014: Smrtící kráska

Během první kampaně, která běžela v září 2014, odesílali útočníci maily se souborem „beauty.scr.“ Účelem této kampaně bylo krást data z napadeného zařízení. K tomu využíval malware funkce pro mapování stisků klávesnice či pro získání údajů o profilech uživatele z prohlížečů Firefox, Chrome a Opera.

Kampaň 2016: Severní Korea vyhladí Manhattan vodíkovou bombou

V této kampani útočníci opět rozesílali soubor ve formátu .scr. Ten obsahoval 2 textové dokumenty, které informovaly o napjatých vztazích mezi Spojenými státy a Severní Koreou (jeden v angličtině, druhý v ruštině). Kromě dřívějších funkcí zahrnovala nová verze malwaru i nástroj pro vzdálenou správu.

Kampaně 2017: Zavolejte severokorejskému velvyslanci

V první letošní kampani došel vybraným uživatelům e-mail se souborem „Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr“. Dokument ve formátu pro MS Word, který měl odlákat pozornost, obsahoval e-mailové adresy, telefonní čísla a další kontakty na členy organizací jako OSN či UNICEF a také na zástupce ambasád Severní Koreje. Tato verze malwaru KONNI byla pokročilejší a jeho konfigurace obsahovala funkci Command and Control. Útočníci tak mohli vzdáleně smazat vybraný soubor, nahrát nový, získat systémové informace či stáhnout do infikovaného zařízení soubor z internetu.

Ve druhé letošní kampani byl odeslán stejný typ malwaru jako v předchozí kampani. Lišil se ale soubor, kterým byla odvedena pozornost. Ten obsahoval kontakty na členy agentur, ambasád a organizací napojených na Severní Koreu. Lišil se také formát tohoto dokumentu – na rozdíl od předchozích verzí se otevíral v Excelu.

Tato poslední kampaň, která začala před pár dny, je stále aktivní.


Komentáře

RSS 

Komentujeme

CCDO: další zkratka na obzoru?

Pavel Houser , 17. květen 2018 09:00

Nová náplň práce CIO a ředitelé přes zákazníky, respektive zákaznická data....

Více







RSS 

Zprávičky

Apple začal irské vládě splácet daňový nedoplatek

ČTK , 21. květen 2018 08:00

Doplacení nařídila Evropská komise, podle níž Irsko řadu let poskytovalo Applu neoprávněné daňové vý...

Více 0 komentářů

ČR má v Evropě 3. nejvyšší platbu za 1 GB mobilních dat

ČTK , 20. květen 2018 16:04

Ve výši průměrného měsíčního tarifu patří ČR s 33 dolary k evropskému průměru....

Více 0 komentářů

Algotech a Sugar Factory se spojují

Pavel Houser , 19. květen 2018 09:00

Společnost Algotech oznámila převzetí společnosti Sugar Factory, českého dodavatele řešení pro řízen...

Více 0 komentářů

Starší zprávičky

Infineon postaví za 1,6 mld. eur novou továrnu na čipy v Rakousku

ČTK , 19. květen 2018 08:00

Infineon je předním světovým producentem polovodičových řešení, v loňském fiskálním roce dosáhl trže...

Více 0 komentářů

Výrobce displejů Japan Display měl loni rekordní ztrátu

ČTK , 18. květen 2018 12:00

Dodavatel Applu doplácí na pozdní zavedení výroby OLED, v iPhone X Apple používá displeje od Samsung...

Více 0 komentářů

Toshiba smí prodat čipovou divizi

ČTK , 18. květen 2018 09:00

Firma se snaží vzpamatovat z účetního skandálu, před 3 lety přiznala rozsáhlé nesrovnalosti v účetni...

Více 0 komentářů

Nová varianta ransomwaru SynAck je schopná obejít zabezpečení

Pavel Houser , 18. květen 2018 08:00

Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované funkce...

Více 0 komentářů