reklama
SAT Kurier logowanie X
  • Zaloguj

KONNI: złośliwe oprogramowanie powraca

dodano: 2020-08-25 21:50
autor: HP | źródło: Bitdefender/CISA/Darkreading

Konni malware wirus word360px.jpg Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie przed kampanią phishingową używaną do infekowania komputerów złośliwym oprogramowaniem KONNI, które powraca w zmodyfikowanej wersji.

satkurier.pl
Konni malware wirus word 760px.jpg


Prosimy o wyłączenie blokowania reklam i odświeżenie strony.
CISA ostrzega przed wiadomościami phishingowymi z załączonymi dokumentami Microsoft Word, które zawierają złośliwy kod makra Visual Basic Application (VBA). Po uruchomieniu makra kod pobiera i instaluje malware KONNI. Microsoft Word zawiera funkcje automatyzacji makr, które znajdują szereg zastosowań. Niestety, bardzo chętnie wykorzystują je również hakerzy, aby uzyskać zdalny dostęp do atakowanych komputerów.

Malware KONNI pełni rolę narzędzia do zdalnej administracji i służy do kradzieży plików, robienia zrzutów ekranu, monitorowania i rejestrowania klawiszy oraz infekowania innych hostów w tej samej sieci.

– Najlepszym sposobem ochrony przed tego typu atakami jest zainstalowanie i aktualizowanie rozwiązania zabezpieczającego. Nie należy też otwierać załączników z nieznanych źródeł i domyślnie wyłączać funkcję Makro. Warto podkreślić, że w tym przypadku mamy do czynienia z bardzo groźnym malwarem, który wcześniej był wykorzystywany do ataków ukierunkowanych – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.


Malware KONNI to również zdalna administracja Windows, która była używana od 2014 roku i ewoluowała w swoich możliwościach przez co najmniej 2017. KONNI był powiązany z kilkoma kampaniami obejmującymi motywy północnokoreańskie. KONNI w znacznym stopniu pokrywa się z kodem rodziny złośliwego oprogramowania NOKKI . Istnieją dowody potencjalnie łączące KONNI z APT37. 

CISA informuje w swoim poradniku w jaki sposób przebiega infekcja komputera ofiary.
Makro VBA używa narzędzia bazy danych certyfikatów CertUtil do pobierania plików zdalnych z Uniform Resource Locator. Narzędzie zawiera też funkcję dekodowania plików zakodowanych w standardzie base64. Wiersz polecenia po kryjomu kopiuje certutil.exe do katalogu tymczasowego i zmienia jego nazwę, aby uniknąć wykrycia. Następnie haker pobiera plik tekstowy ze zdalnego zasobu zawierający ciąg zakodowany w base64, który jest dekodowany przez CertUtil i zapisywany jako plik wsadowy (.BAT). Ostatecznie napastnik usuwa plik tekstowy z katalogu tymczasowego i wykonuje plik .BAT.

Źródło: cisa.gov  darkreading.com 

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.




Więcej z kategorii Aplikacje


reklama
reklama
HOLLEX.PL - Twój sklep internetowy

Odbiornik AB CryptoBox 800UHD

AB CryptoBox 800UHD - najnowszy odbiornik Ultra HD marki AB...

349 zł Więcej...

Odbiornik Octagon SX88+ SE HEVC HD Multistream

Najnowsza wersja satelitarnego odbiornika Octagon SX88+ SE HD, z DX...

249 zł Więcej...

DJI Osmo Pocket

1 190 zł Więcej...
reklama