СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

Konni Group использует LNK-файлы и KakaoTalk для целевого фишинга

Исследование выявило масштабную и технически продвинутую кампанию, приписываемую Konni Group — северокорейской APT. Атака сочетает социальную инженерию и многоступенчатое развертывание вредоносного ПО: от целевых электронных писем-приглашений до долгосрочного удалённого контроля над системами жертв.

Краткое содержание

Атака начинается с целевых фишинговых писем, замаскированных под приглашения на заседания по правам человека в Северной Корее. Вложенные файлы формата LNK действуют как дропперы — при запуске они вызывают PowerShell, расшифровывают скрытые данные, загружают полезную нагрузку с сервера управления (C2) и закрепляют присутствие через планировщик задач Windows. После компрометации злоумышленники используют приложение KakaoTalk на компьютере жертвы для дальнейшего распространения вредоносного ПО среди доверенных контактов.

«Файлы LNK были разработаны таким образом, чтобы маскироваться под PDF-документы, заставляя пользователя выполнять их, в то же время незаметно загружая вредоносные скрипты» — из отчета.

Механика атаки — по этапам

  • Фишинг: таргетированные e-mail с приглашениями на мероприятия по правам человека (безопасно выглядящие темы и контент).
  • Первичный инжект: запуск LNK-файла, замаскированного под PDF, который инициирует выполнение PowerShell.
  • Доставка полезной нагрузки: расшифровка встроенных данных, загрузка дополнительного ПО с C2.
  • Закрепление: регистрация задач в Windows Task Scheduler для персистентности.
  • Распространение: использование приложения KakaoTalk жертвы для отправки вредоносного контента контактам, используя доверие между пользователями.
  • Развертывание RATs: одновременно вводятся несколько RAT-семейств — EndRAT, RftRAT, RemcosRAT — для установления и удержания контроля.

Технический анализ

Ключевые технические находки, выявленные в ходе анализа:

  • LNK → PowerShell: LNK-файлы запускали PowerShell-команды, которые расшифровывали скрытые данные и загружали дополнительные компоненты.
  • Модулярность: архитектура вредоносного ПО модульная — базовый дроппер доставляет дополнительную полезную нагрузку после установки, что позволяет адаптироваться к средствам обнаружения.
  • Персистентность: установка записей в Task Scheduler для автоматического запуска вредоносных компонентов.
  • Множественные RATs: одновременное использование EndRAT, RftRAT и RemcosRAT повышает устойчивость и функциональность компрометации.

Инфраструктура C2 и тактики уклонения

Инфраструктура C2 распределена и международна: задействованы многочисленные IP-адреса за пределами Европы, что повышает устойчивость и осложняет блокировку. Децентрализованная сеть C2 и модульный подход затрудняют корреляцию инцидентов и увеличивают шансы обхода сигнатурных средств защиты.

Цели и последствия

Основная цель кампании — длительный несанкционированный сбор информации, в частности внутренних документов организаций, заинтересованных в тематике Северной Кореи. Применяемая тактика распространяет риск и на окружение жертвы: использование KakaoTalk превращает доверенные каналы коммуникации в вектор дальнейшей компрометации.

Рекомендации по защите

Защитные меры должны быть ориентированы как на технологические контрмеры, так и на обучение пользователей:

  • Поведенческое обнаружение: внедрять EDR/EDR-like решения, которые отслеживают нестандартные процессы, вызовы PowerShell, и аномальные цепочки запуска.
  • Мониторинг персистентности: следить за созданием и изменением задач в Windows Task Scheduler.
  • Контроль сетевых соединений: блокировка и расследование попыток связи с известными/подозрительными C2-адресами и аномальными географическими паттернами.
  • Ограничение использования PowerShell: применение политики ConstrainedLanguage, запрет выполнения неподписанных скриптов, аудит команд.
  • Расширенная фильтрация почты: блокировать .lnk-вложения, применять sandbox-сканирование и предварительный анализ вложений, замаскированных под PDF.
  • Защита мессенджеров: контроль и мониторинг приложений обмена сообщениями (включая KakaoTalk), внедрение политик для предотвращения несанкционированной рассылки от пользовательских аккаунтов.
  • Обучение пользователей: тренировки по распознаванию целевого фишинга, внимание к необычным приглашениям и вложениям, особенно по политически чувствительной тематике.
  • Инцидент-реагирование: готовые процедуры по расследованию компро­метаций, включающие сбор артефактов LNK, логов PowerShell и сетевых сессий.

Вывод

Кампания Konni Group демонстрирует зрелую, многоэтапную угрозу с акцентом на социальную инженерию, модульный развертываемый вредоносный код и злоупотребление доверительными каналами коммуникации. Снижение рисков требует интегрированного подхода: сочетания поведенческого мониторинга, сетевого контроля, ограничений на выполнение скриптов и устойчивой политики безопасности пользовательских коммуникаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: