严重性
高的
分析总结
Konni APT(高级持续威胁)组织是一个网络间谍组织,至少自 2014 年以来一直活跃。据信该组织总部位于朝鲜,以韩国和美国的政府机构和组织为目标而闻名。
朝鲜黑客组织通过网络钓鱼消息或电子邮件分发 Konni RAT。当受害者访问武器化文件时,感染链就开始了。攻击者利用 Konni RAT 从受害者那里收集信息、捕获屏幕截图、窃取文件并构建远程交互式 shell。KONNI 与朝鲜针对俄罗斯、东亚、欧洲和中东政治团体的多起据称袭击事件有关。KONNI 与 NOKKI 恶意软件家族有明显的代码重叠。Konni 的 APT 组织继续攻击用俄语编写的恶意文档。该威胁组织利用俄罗斯与朝鲜的贸易和经济投资文件进行攻击。
该 APT 组织于 2022 年 1 月被发现以俄罗斯外交部门为目标,采用鱼叉式网络钓鱼主题作为除夕庆祝活动的诱饵。当恶意电子邮件附件被打开并处理时,会发生一系列事件,允许攻击者安装 Konni RAT 系列的植入程序作为最终有效负载。
影响
信息盗窃和间谍活动
妥协指标
MD5
d2ed41719424bb024535afa1b2d17f3aSHA-256
e631222de34a094f0dff24d76843923f83cdd436453a35d5cae4536b4a565ea8SHA-1
4700b2d58a8ce52e272eb3652fee799cc7c7a0ac补救措施
1、在您各自的控制中阻止所有威胁指示器。
2、利用各自的安全控制在您的环境中搜索危害指标 (IOC)。
3、不要从未知来源下载电子邮件中附加的文档,并严格避免在来源不可靠时启用宏。
4、启用防病毒和反恶意软件软件并及时更新签名定义。使用多层保护对于保护易受攻击的资产是必要的。
5、除了网络和系统强化之外,还应在组织内部实施代码强化,以确保其网站和软件的安全。使用测试工具来检测已部署代码中的任何漏洞。
转载来源:https://www.rewterz.com/rewterz-news/rewterz-threat-alert-north-korea-linked-konni-apt-group-active-iocs-10/
图片来源网络侵权可联系删除
