Noord-Koreaanse hackers keren terug met stealthier-variant van KONNI RAT-malware

KONNI RAT Malware Nachrichten

Een cyberspionagegroep met banden met Noord-Korea is opgedoken met een onopvallende variant van zijn trojan voor toegang op afstand, Konni genaamd, om politieke instellingen in Rusland en Zuid-Korea aan te vallen.

„De auteurs maken voortdurend codeverbeteringen“, zegt Malwarebytes-onderzoeker Roberto Santos zei. „Hun inspanningen zijn gericht op het doorbreken van de typische stroom die wordt geregistreerd door sandboxen en om detectie moeilijker te maken, vooral via reguliere handtekeningen, aangezien kritieke delen van het uitvoerbare bestand nu gecodeerd zijn.“

De meest recente inbraken die door de groep werden georganiseerd, waarvan wordt aangenomen dat ze opereren onder de paraplu van Kimsuky, waren gericht op het ministerie van Buitenlandse Zaken (MID) van de Russische Federatie met nieuwjaarslokmiddelen om Windows-systemen te compromitteren met malware.

De infecties beginnen, net als bij andere aanvallen van deze soort, met een kwaadaardig Microsoft Office-document dat, wanneer het wordt geopend, een proces in meerdere fasen in gang zet waarbij verschillende bewegende delen betrokken zijn die de aanvallers helpen om privileges te verhogen, detectie te ontwijken en uiteindelijk de Konni RAT in te zetten. laadvermogen op gecompromitteerde systemen.

Een nieuwe toevoeging aan de bestaande mogelijkheden van de achterdeur is de overgang van Base64-codering naar AES-codering om de strings te beschermen en hun ware doel te verdoezelen. Bovendien zijn de verschillende ondersteuningsbestanden die zijn verwijderd om het compromis te vergemakkelijken nu ook versleuteld met AES.

„Slim, ze hergebruikten het algoritme dat werd gebruikt voor stringbeveiliging, waardoor de bestandslay-out identiek was aan de beveiligde stringslay-out, zoals ze in het onbewerkte geheugen verschijnen“, legt Santox uit.

De belangrijke updates zijn een voorbeeld van hoe snel geavanceerde actoren hun tactieken en technieken kunnen ontwikkelen om iets krachtigs en effectiefs te creëren dat voorbij de beveiligings- en detectielagen kan gaan.

David
Rate author
Hackarizona