Malware KONNI se skrýval 3 roky

Pavel Houser , 15. květen 2017 11:28 0 komentářů
Rubriky: Security

Průvodní kampaně při šíření tohoto malwaru operují především s tématy kolem Severní Koreje.

Bezpečnostní tým Cisco Talos odhalil celkem 4 kampaně dosud neobjeveného malwaru, který dostal jméno KONNI. Ten se dokázal úspěšně maskovat od roku 2014. Zpočátku se malware zaměřoval pouze na krádeže citlivých dat. Za 3 roky se ale několikrát vyvinul, přičemž jeho současná verze umožňuje útočníkovi z infikovaného počítače nejenom krást data, ale funguje také jako keylogger, zaznamenává screenshoty a je schopen v zařízení spustit libovolný kód.

KONNI se šířil e-mailem. Na rozdíl od velkých spamových kampaní, jako je například šíření ransomwaru Locky, cílil na přesněji vybrané cíle. Útočníci využívali i sociálního inženýrství, aby přiměli své oběti otevřít soubor ve formátu .scr a stáhnout si infikovaný soubor. Celkem 4 kampaně proběhly postupně v letech 2014, 2016 a dvě v roce 2017.

Kampaň 2014: Smrtící kráska

Během první kampaně, která běžela v září 2014, odesílali útočníci maily se souborem „beauty.scr.“ Účelem této kampaně bylo krást data z napadeného zařízení. K tomu využíval malware funkce pro mapování stisků klávesnice či pro získání údajů o profilech uživatele z prohlížečů Firefox, Chrome a Opera.

Kampaň 2016: Severní Korea vyhladí Manhattan vodíkovou bombou

V této kampani útočníci opět rozesílali soubor ve formátu .scr. Ten obsahoval 2 textové dokumenty, které informovaly o napjatých vztazích mezi Spojenými státy a Severní Koreou (jeden v angličtině, druhý v ruštině). Kromě dřívějších funkcí zahrnovala nová verze malwaru i nástroj pro vzdálenou správu.

Kampaně 2017: Zavolejte severokorejskému velvyslanci

V první letošní kampani došel vybraným uživatelům e-mail se souborem „Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr“. Dokument ve formátu pro MS Word, který měl odlákat pozornost, obsahoval e-mailové adresy, telefonní čísla a další kontakty na členy organizací jako OSN či UNICEF a také na zástupce ambasád Severní Koreje. Tato verze malwaru KONNI byla pokročilejší a jeho konfigurace obsahovala funkci Command and Control. Útočníci tak mohli vzdáleně smazat vybraný soubor, nahrát nový, získat systémové informace či stáhnout do infikovaného zařízení soubor z internetu.

Ve druhé letošní kampani byl odeslán stejný typ malwaru jako v předchozí kampani. Lišil se ale soubor, kterým byla odvedena pozornost. Ten obsahoval kontakty na členy agentur, ambasád a organizací napojených na Severní Koreu. Lišil se také formát tohoto dokumentu – na rozdíl od předchozích verzí se otevíral v Excelu.

Tato poslední kampaň, která začala před pár dny, je stále aktivní.


Komentáře

RSS 

Komentujeme

Sociální sítě pro B2B? Bláznovství!

Richard Jan Voigts , 17. květen 2017 07:00
Richard Jan Voigts

Agentura Ami Digital provedla průzkum ohledně využívání sociálních sítí v České republice. Ami Digit...

Více





RSS 

Zprávičky

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů

Zákon o elektronické identifikaci Sněmovna asi schválí beze změn

ČTK , 25. květen 2017 09:00

Jedním z cílů nových občanských průkazů je poskytnout držitelům elektronický podpis....

Více 0 komentářů

Starší zprávičky

PayPal rozšiřuje ochranu prodejců v ČR

Pavel Houser , 25. květen 2017 08:00

Tento program se dříve v České republice vztahoval jen na hmotné zboží, nyní se rozšiřuje i o služby...

Více 0 komentářů

Firmy zabývající se virtuální realitou zakládají asociaci

ČTK , 24. květen 2017 16:00

Cílem je propojit vývojářské týmy s universitami, investičními fondy a soukromým sektorem....

Více 0 komentářů

Sněmovna schválila novelu upravující přechod na vysílání DVB-T2

ČTK , 24. květen 2017 13:05

"Já jsem tam postrádal něco ve prospěch virtuálních mobilních operátorů," uvedl budoucí ministr fina...

Více 0 komentářů

Google chce propojit data z webové reklamy s nákupy v kamenných obchodech

ČTK , 24. květen 2017 10:46

Technologie dokáže propojit informace o tom, na co lidé na webu klikají a za co pak platí kartou v k...

Více 2 komentářů