reklama
SAT Kurier logowanie X
  • Zaloguj

KONNI: złośliwe oprogramowanie powraca

dodano: 2020-08-25 21:50
autor: HP | źródło: Bitdefender/CISA/Darkreading

Konni malware wirus word360px.jpg Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie przed kampanią phishingową używaną do infekowania komputerów złośliwym oprogramowaniem KONNI, które powraca w zmodyfikowanej wersji.

satkurier.pl
Konni malware wirus word 760px.jpg


Prosimy o wyłączenie blokowania reklam i odświeżenie strony.
CISA ostrzega przed wiadomościami phishingowymi z załączonymi dokumentami Microsoft Word, które zawierają złośliwy kod makra Visual Basic Application (VBA). Po uruchomieniu makra kod pobiera i instaluje malware KONNI. Microsoft Word zawiera funkcje automatyzacji makr, które znajdują szereg zastosowań. Niestety, bardzo chętnie wykorzystują je również hakerzy, aby uzyskać zdalny dostęp do atakowanych komputerów.

Malware KONNI pełni rolę narzędzia do zdalnej administracji i służy do kradzieży plików, robienia zrzutów ekranu, monitorowania i rejestrowania klawiszy oraz infekowania innych hostów w tej samej sieci.

– Najlepszym sposobem ochrony przed tego typu atakami jest zainstalowanie i aktualizowanie rozwiązania zabezpieczającego. Nie należy też otwierać załączników z nieznanych źródeł i domyślnie wyłączać funkcję Makro. Warto podkreślić, że w tym przypadku mamy do czynienia z bardzo groźnym malwarem, który wcześniej był wykorzystywany do ataków ukierunkowanych – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.


Malware KONNI to również zdalna administracja Windows, która była używana od 2014 roku i ewoluowała w swoich możliwościach przez co najmniej 2017. KONNI był powiązany z kilkoma kampaniami obejmującymi motywy północnokoreańskie. KONNI w znacznym stopniu pokrywa się z kodem rodziny złośliwego oprogramowania NOKKI . Istnieją dowody potencjalnie łączące KONNI z APT37. 

CISA informuje w swoim poradniku w jaki sposób przebiega infekcja komputera ofiary.
Makro VBA używa narzędzia bazy danych certyfikatów CertUtil do pobierania plików zdalnych z Uniform Resource Locator. Narzędzie zawiera też funkcję dekodowania plików zakodowanych w standardzie base64. Wiersz polecenia po kryjomu kopiuje certutil.exe do katalogu tymczasowego i zmienia jego nazwę, aby uniknąć wykrycia. Następnie haker pobiera plik tekstowy ze zdalnego zasobu zawierający ciąg zakodowany w base64, który jest dekodowany przez CertUtil i zapisywany jako plik wsadowy (.BAT). Ostatecznie napastnik usuwa plik tekstowy z katalogu tymczasowego i wykonuje plik .BAT.

Źródło: cisa.gov  darkreading.com 

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.




Więcej z kategorii Aplikacje


reklama
reklama
HOLLEX.PL - Twój sklep internetowy

Odbiornik Octagon SF8008 Combo UHD 4K S2X - Netflix

Octagon SF8008 Combo UHD 4K S2X - nowy odbiornik UHD...

449 zł Więcej...

Moduł DeltaCam DUO

Najnowszy uniwersalny moduł dostępu DeltaCAM DUO REV 2.0 Deltacrypt CI ...

539 zł Więcej...

Kabel HDMI 2.1 8K UHD 3,0m

Najnowszy kabel HDMI o długości 3,0m w wersji v2.1 dla...

79 zł Więcej...
reklama