Malware KONNI se úspěšně skrýval 3 roky. Odhalil ho bezpečnostní tým Cisco Talos
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Malware KONNI se úspěšně skrýval 3 roky. Odhalil ho bezpečnostní tým Cisco TalosMalware KONNI se úspěšně skrýval 3 roky. Odhalil ho bezpečnostní tým Cisco Talos

 

Malware KONNI se úspěšně skrýval 3 roky. Odhalil ho bezpečnostní tým Cisco Talos

Google       20. 5. 2017       5 954×

Bezpečnostní tým Cisco Talos odhalil celkem 4 kampaně dosud neobjeveného malwaru, který dostal jméno KONNI. Ten se dokázal úspěšně maskovat od roku 2014. Zpočátku se malware zaměřoval pouze na krádeže citlivých dat. Za 3 roky se ale několikrát vyvinul, přičemž jeho současná verze umožňuje útočníkovi z infikovaného počítače nejenom krást data, ale i mapovat stisky na klávesnici, pořizovat screenshoty obrazovky či v zařízení spustit libovolný kód. Pro odvedení pozornosti oběti zasílali útočníci v příloze také obrázek, zprávu a výhružkách severokorejského režimu či kontakty na členy mezinárodních organizací.

Reklama
Reklama

Malware KONNI využíval ke svému rozšíření emailovou poštu. Na rozdíl od velkých spamových kampaní, jako je například šíření ransomwaru Locky, cílil na přesněji vybrané cíle. Útočníci využívali i sociálního inženýrství, aby přiměli své oběti otevřít soubor ve formátu .scr a stáhnout si infikovaný soubor. Celkem 4 kampaně proběhly postupně v letech 2014, 2016 a dvě v roce 2017.

Kampaň 2014: Smrtící kráska

Během první kampaně, která běžela v září 2014, odesílali útočníci maily se souborem „beauty.scr.“ Jakmile byl soubor otevřen, do systému se stáhly dva soubory. Prvním z nich byl obrázek barmského chrámu (měl odlákat pozornost) a binární soubor svchost.exe (malware KONNI). Oba souboru byly uloženy ve složce „C:\Windows". Účelem této kampaně bylo krást data z napadeného zařízení. K tomu využíval malware funkce pro mapování stisků klávesnice či pro získání údajů o profilech uživatele z prohlížečů Firefox, Chrome a Opera.

Kampaň 2016: Severní Korea vyhladí Manhattan vodíkovou bombou

V této kampani útočníci opět rozesílali soubor ve formátu .scr. Ten obsahoval 2 textové dokumenty, které informovaly o napjatých vztazích mezi Spojenými státy a Severní Koreou (jeden v angličtině, druhý v ruštině). Oba se otevíraly v programu MS Word. Změnila se však struktura malwaru, který byl rozdělen do dvou binárních souborů (conhote.dll a winnit.exe). Malware v této fázi kampaně změnil i cíl svého uložení do uživatelské složky (%USERPROFILE%\Local Settings\winnit\winnit.exe). Kromě dřívějších funkcí zahrnovala nová verze malwaru i nástroj pro vzdálenou správu. Malware KONNI také automaticky vyhledával soubory, které vytvořila předchozí verze. Z toho bezpečnostní tým Cisco Talos vyvozuje, že malware cílil na stejné oběti jako v roce 2014.

Kampaně 2017: Zavolejte severokorejskému velvyslanci

V první letošní kampani došel vybraným uživatelům email se souborem „Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr“. Dokument ve formátu pro MS Word, který měl odlákat pozornost, obsahoval emailové adresy, telefonní čísla a další kontakty na členy organizací jako OSN či UNICEF a také na zástupce ambasád Severní Koreje. Tato verze malwaru KONNI byla pokročilejší a jeho konfigurace obsahovala funkci Command and Control. Útočníci tak mohli vzdáleně smazat vybraný soubor, nahrát nový, získat systémové informace či stáhnout do infikovaného zařízení soubor z internetu.

Ve druhé letošní kampani byl odeslán stejný typ malwaru jako v předchozí kampani. Lišil se ale soubor, kterým byla odvedena pozornost. Ten obsahoval kontakty na členy agentur, ambasád a organizací napojených na Severní Koreu. Lišil se také formát tohoto dokumentu – na rozdíl od předchozích verzí se otevíral v Excelu.

Tato poslední kampaň, která začala před pár dny, je stále aktivní. Není známo, zda údaje v dokumentech z posledních dvou kampaní jsou pravé, či zda je útočník používá pouze pro zvýšení uvěřitelnosti. Pravděpodobně však tyto kampaně cílily na veřejné organizace.

Další podrobnosti (anglicky): http://blog.talosintelligence.com/2017/05/konni-malware-under-radar-for-years.html

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

Hlasování bylo ukončeno    
0 hlasů
Google
(fotka) Nikola VránováNikola se zajímá o řízení projektů, hledání nových talentů, startupy a pořádání společenských akcí.
Facebook    

Nové články

Obrázek ke článku První český hackathon ve vlaku inspirovaly služby jako  Tinder, Airbnb nebo Uber

První český hackathon ve vlaku inspirovaly služby jako Tinder, Airbnb nebo Uber

Patnáct set kilometrů, cesta přes dva státy, šestnáct hodin programování a přísun energy drinků, tak by se dal shrnout unikátní hackathon ve vlaku pořádaný Kiwi.com. Z Prahy do Košic a zpět se svezlo celkem 13 týmů, každý s originálním nápadem. Hlavní výhru, voucher na letenky v hodnotě 2 500 EUR, si v Praze převzal tým až z Ukrajiny.

Reklama
Reklama
Obrázek ke článku Gamifikace nakupování dorazila i do České republiky

Gamifikace nakupování dorazila i do České republiky

Zákazníci zejména retailových společností jsou často znuděni klasickými věrnostními či motivačními programy. Většinou z toho důvodu, že jsou jeden jako druhý a nepřináší nic nového. Ale i v České republice se projevují zahraniční trendy, nedávno zde totiž vstoupila na trh a rychle se uchytila nová platforma kombinující to nejlepší z věrnostních a motivačních programů, která navíc využívá prvky gamifikace – Rondo.cz. Na hlavní milníky vývoje nálad a motivace zákazníků a nejnovější trendy se zaměřil Jan Hřebabecký, spoluzakladatel Rondo.cz

Celý článekGoogle2. listopadu 2017PR
Obrázek ke článku NopCommerce – datová vrstva a přístup k datům – 2. díl

NopCommerce – datová vrstva a přístup k datům – 2. díl

V minulém článku jsme si představili platformu NopCommerce z globálního pohledu. V dnešním díle se již zaměříme na konkrétní část systému, a to datovou vrstvu. Představíme si základní stavební kameny systému v podobě doménových objektů. Ukážeme si, jakým způsobem rozšířit doménové objekty a jakým způsobem přistupuje NopCommerce k nastavení systému a modulů.

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032018 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý