Malware KONNI se skrýval 3 roky

Pavel Houser , 15. květen 2017 11:28 0 komentářů
Rubriky: Security

Průvodní kampaně při šíření tohoto malwaru operují především s tématy kolem Severní Koreje.

Bezpečnostní tým Cisco Talos odhalil celkem 4 kampaně dosud neobjeveného malwaru, který dostal jméno KONNI. Ten se dokázal úspěšně maskovat od roku 2014. Zpočátku se malware zaměřoval pouze na krádeže citlivých dat. Za 3 roky se ale několikrát vyvinul, přičemž jeho současná verze umožňuje útočníkovi z infikovaného počítače nejenom krást data, ale funguje také jako keylogger, zaznamenává screenshoty a je schopen v zařízení spustit libovolný kód.

KONNI se šířil e-mailem. Na rozdíl od velkých spamových kampaní, jako je například šíření ransomwaru Locky, cílil na přesněji vybrané cíle. Útočníci využívali i sociálního inženýrství, aby přiměli své oběti otevřít soubor ve formátu .scr a stáhnout si infikovaný soubor. Celkem 4 kampaně proběhly postupně v letech 2014, 2016 a dvě v roce 2017.

Kampaň 2014: Smrtící kráska

Během první kampaně, která běžela v září 2014, odesílali útočníci maily se souborem „beauty.scr.“ Účelem této kampaně bylo krást data z napadeného zařízení. K tomu využíval malware funkce pro mapování stisků klávesnice či pro získání údajů o profilech uživatele z prohlížečů Firefox, Chrome a Opera.

Kampaň 2016: Severní Korea vyhladí Manhattan vodíkovou bombou

V této kampani útočníci opět rozesílali soubor ve formátu .scr. Ten obsahoval 2 textové dokumenty, které informovaly o napjatých vztazích mezi Spojenými státy a Severní Koreou (jeden v angličtině, druhý v ruštině). Kromě dřívějších funkcí zahrnovala nová verze malwaru i nástroj pro vzdálenou správu.

Kampaně 2017: Zavolejte severokorejskému velvyslanci

V první letošní kampani došel vybraným uživatelům e-mail se souborem „Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr“. Dokument ve formátu pro MS Word, který měl odlákat pozornost, obsahoval e-mailové adresy, telefonní čísla a další kontakty na členy organizací jako OSN či UNICEF a také na zástupce ambasád Severní Koreje. Tato verze malwaru KONNI byla pokročilejší a jeho konfigurace obsahovala funkci Command and Control. Útočníci tak mohli vzdáleně smazat vybraný soubor, nahrát nový, získat systémové informace či stáhnout do infikovaného zařízení soubor z internetu.

Ve druhé letošní kampani byl odeslán stejný typ malwaru jako v předchozí kampani. Lišil se ale soubor, kterým byla odvedena pozornost. Ten obsahoval kontakty na členy agentur, ambasád a organizací napojených na Severní Koreu. Lišil se také formát tohoto dokumentu – na rozdíl od předchozích verzí se otevíral v Excelu.

Tato poslední kampaň, která začala před pár dny, je stále aktivní.


Komentáře

RSS 

Komentujeme

Do 100 let díky pivu

Pavel Houser , 02. prosinec 2018 16:00

Šéf Amazonu věří, že pozitivní vliv na dlouhověkost má alkohol – alespoň v případě firem. Jeff Bezo...

Více

Kalendář

29. 01. Reshoper 2019
29. 03.

30. 03.
Czech On-line Expo 2019
01. 04.

05. 04.
SuSEcon 2019







RSS 

Zprávičky

Příští rok spustí sítě 5G prvních 25 operátorů

ČTK , 14. prosinec 2018 10:25

Trh hlasových asistentů s umělou inteligencí vzroste příští rok na 250 milionů instalovaných zařízen...

Více 0 komentářů

Český fintech trh má potenciál až 15 miliard Kč

Pavel Houser , 14. prosinec 2018 09:00

Zahraniční fintech firmy již úspěšně vstoupily na český trh. Stejně tak najdeme příklady úspěšných č...

Více 0 komentářů

Soud EU částečně zmírnil pokuty pro Slovak a Deutsche Telekom

ČTK , 14. prosinec 2018 08:00

Slovak Telekom svými vysokými velkoobchodními cenami měl znemožňovat alternativním operátorům ziskov...

Více 0 komentářů

Starší zprávičky

Poslanci napříč stranami podporují právo občanů na digitální služby

Pavel Houser , 13. prosinec 2018 11:00

Do pěti let by mělo stačit prokázání totožnosti elektronickou občankou nebo identitními prostředky b...

Více 0 komentářů

Pondělní nákupy na českém internetu překonaly miliardu

Pavel Houser , 13. prosinec 2018 10:00

Zákazníci si pro zboží stále raději chodí osobně....

Více 0 komentářů

Kanada propustila finanční ředitelku Huawei na kauci

ČTK , 13. prosinec 2018 09:00

Washington s Pekingem jedná o obchodní dohodě, která by ukončila současné spory a odvetné zvyšování ...

Více 0 komentářů

Akcionáři společnosti Dell schválili dohodu s VMware

ČTK , 13. prosinec 2018 08:00

Dohoda umožní Dellu stát se opět veřejně obchodovanou firmou, aniž by musel uskutečnit primární nabí...

Více 0 komentářů