Một nhóm gián điệp mạng có quan hệ với Triều Tiên đã nổi lên với một biến thể lén lút của trojan truy cập từ xa có tên Konni để tấn công các tổ chức chính trị ở Nga và Hàn Quốc.
Nhà nghiên cứu Roberto Santos của Malwarebytes cho biết: “Các tác giả liên tục cải tiến mã. “Những nỗ lực của họ là nhằm phá vỡ luồng thông thường được ghi lại bởi các hộp cát và làm cho việc phát hiện khó hơn, đặc biệt là thông qua chữ ký thông thường vì các phần quan trọng của tệp thực thi hiện đã được mã hóa.”
Hầu hết các cuộc xâm nhập gần đây được tổ chức bởi nhóm, được cho là hoạt động dưới sự bảo trợ của Kimsuky, liên quan đến việc nhắm mục tiêu Bộ Ngoại giao Liên bang Nga (MID) với chiêu dụ Năm mới để xâm nhập hệ thống Windows bằng phần mềm độc hại.
Sự lây nhiễm, cũng như các cuộc tấn công khác thuộc loại này, bắt đầu bằng một tài liệu Microsoft Office độc hại, khi được mở, sẽ bắt đầu một quá trình giai đoạn phức tạp bao gồm một số bộ phận chuyển động giúp những kẻ tấn công nâng cao đặc quyền, tránh bị phát hiện và cuối cùng là triển khai Konni RAT tải trọng trên các hệ thống bị xâm phạm.
Một bổ sung mới cho các khả năng hiện có của backdoor là chuyển đổi từ mã hóa Base64 sang mã hóa AES để bảo vệ các chuỗi của nó và để làm xáo trộn mục đích thực sự của chúng. Trên hết, các tệp hỗ trợ khác nhau đã bị loại bỏ để tạo điều kiện thuận lợi cho việc xâm nhập, giờ đây cũng được mã hóa bằng AES.
“Một cách thông minh, họ đã sử dụng lại thuật toán được sử dụng để bảo vệ chuỗi, làm cho bố cục tệp giống hệt với bố cục chuỗi được bảo vệ, khi chúng xuất hiện trong bộ nhớ thô”, Santox chi tiết.
Các bản cập nhật quan trọng là một ví dụ về việc các tác nhân phức tạp có thể phát triển các chiến thuật và kỹ thuật của họ một cách nhanh chóng như thế nào để tạo ra thứ gì đó mạnh mẽ và hiệu quả có thể vượt qua các lớp bảo mật và phát hiện.
.
