当前位置:安全资讯 >> 全文

朝鲜攻击事件暴露KONNI和DarkHotel之间的关联

发布时间:2017-8-10 11:13
分享到 0

最近两起明显针对跟朝鲜有关的实体的网络监控活动显示,DarkHotel攻击和KONNI恶意软件之间存在关联。

KONNI潜伏3 不断升级

KONNI是一款远程访问木马 (RAT),它设法潜伏了3年多并一直都在升级,目前能够记录按键、窃取文件、捕获截屏并收集关于受感染机器的信息。

KONNI主要用于攻击跟朝鲜存在关联的组织机构。思科安全研究员在今年发现的一次攻击中涉及一款被命名为“平壤目录组电子邮件20174RC_Office_Coordination_Associate.scr”的病毒释放器,它在执行时会打开一个Word文档。

Cylance公司的研究人员发现这份题为“平壤电子邮件列表---20174月”的诱骗性文档跟最近Bitdefender认为和DarkHotel有关的攻击活动用的文档非常相似。DarkHotel已经存在了近10年。

DarkHotel或来自韩国

DarkHotel现身于201411月,当时卡巴斯基公布了一份报告详细说明了针对在亚太地区出差人员的复杂网络监控活动。这个组织的成员似乎讲韩语,可能来自韩国,攻击对象是位于朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、中国台湾、中国、美国、印度、莫桑比克、印度尼西亚和德国的个人。

Bitdefender公司分析了最新的DarkHotel攻击活动 “Inexsmar”。该攻击针对的对象是对朝鲜感兴趣的政府雇员。攻击中使用的诱骗文档跟出现在KONNI攻击中的文档非常相似,主题是“平壤电子邮件列表----20169月”,二者的内容也具有相同的格式。

另外,对文件说明的分析发现,二者的主题均为“平壤目录”,且都由一个名为“Divya Jacob” 的个人所撰写。

Cylance公司已详细分析了KONNI恶意软件,安全专家认为由于最近受到很多关注,这款恶意软件的作者可能会发布包含更好的混淆功能等的新变体。

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/north-korea-campaigns-show-link-between-konni-and-darkhotel
参与讨论,请先 登录 | 注册

用户评论