СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.04.2025
#Dev#ИБ#Инфра

Сложная атака от Konni APT: новые угрозы для Южной Кореи

Сложная атака от Konni APT: новые угрозы для Южной Кореи

Недавно специалисты по кибербезопасности зафиксировали новую вредоносную кампанию, инициированную группировкой Konni APT, характерную сложной многоэтапной стратегией атаки. Эта кампания расчитана на корейскоязычных пользователей и использует эффективные техники социальной инженерии.

Старт кампании: ZIP-архив и файл .lnk

Атака начинается с ZIP-архива, содержащего файл .lnk, названный корейским словом, означающим «предложение». Этот файл маскируется под PDF-документ, что делает его особенно привлекательным для жертв, не обладающих глубокими техническими знаниями.

Скрытые методы и вредоносный код

При открытии файла .lnk запускается запутанный скрипт PowerShell, который был специально разработан для избегания обнаружения. Он использует:

  • Случайные имена переменных для скрытия своего истинного назначения,
  • Методы обхода, чтобы ввести в заблуждение аналитиков безопасности,
  • Команды для манипуляции именами файлов, удаления запущенных компонентов и извлечения скрытых полезных данных.

Созданный PDF-файл-приманка отвлекает пользователей, выдавая себя за законное предложение, в то время как вредоносное ПО работает скрытно. В документе также содержатся ссылки на чат-комнату KakaoTalk с упоминанием популярных южнокорейских брендов, таких как Naver и Coupang, что усиливает его обманчивый характер.

Методы атаки и структура вредоносной программы

Эта кампания налагает важные корреляции с предыдущими операциями Konni APT, в которых злоумышленники часто используют знакомства, чтобы завоевать доверие своих целей. Вредоносная программа активно собирает данные, списки каталогов и системную информацию, передавая эти сведения на скомпрометированный сервер управления (C2), идентифицируемый как ausbildungsbuddy.de.

Кампания включает в себя ряд заметных методов атаки, таких как:

  • Использование файлов .lnk для создания оружия,
  • Выполнение с помощью запутанных PowerShell и пакетных сценариев,
  • Методы сохранения, гарантирующие, что полезная нагрузка остается активной даже после перезагрузки системы.

Заключение: постоянная угроза для организаций

Таким образом, данная кампания не только иллюстрирует фирменные методы группы Konni APT, но и подчеркивает их неизменную нацеленность на использование надежных инфраструктур для осуществления своих действий. Выбор тактики социальной инженерии в сочетании с передовыми технологиями вредоносного ПО указывает на постоянную угрозу, особенно для организаций в финансовом, правительственном и оборонном секторах Южной Кореи.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: