Konni RAT利用Word文档从Windows窃取数据

考虑到截至2022年,Microsoft Office套件仍然是黑客最常利用的用于传播恶意软件的工具集,Konni RAT的回归和最新发现不应令人意外。

FortiGuard实验室的网络安全研究人员发现了一种名为“Konni”的新恶意软件活动,该活动通过包含恶意宏的Word文档针对Windows系统。当毫无戒心的用户打开或下载该文档时,名为Konni的远程访问木马(RAT)就会被执行。

Konni RAT是一种复杂的恶意软件,结合了自卫机制,其功能包括窃取登录凭据、远程命令执行以及以提升的权限执行命令的能力。此外,它还可以下载和上传文件。

值得注意的是,“Konni RAT”因此前针对俄罗斯而闻名。值得注意的是,该恶意软件与2017年8月朝鲜导弹试验后针对朝鲜使用的恶意软件相同。

至于最新的活动,恶意Word文档是用俄语编写的,并作为合法文件(例如发票、合同或工作申请)分发,以诱骗用户打开它们。

尽管该文档是在2023年9月创建的,但FortiGuard Labs的内部遥测显示该活动的C2服务器仍然处于活动状态。这意味着该活动仍在继续,并且新的受害者正在被感染。这种持续的活动表明了科尼运动的持久性。

研究人员观察到,“复杂的威胁行为者”在使用“批处理脚本和 DLL 文件”的Word文档中使用了高级工具集。有效负载包含与C2服务器的UAC绕过加密通信,可能是为了允许攻击者执行特权命令

打开 Word 文档时,会出现提示请求用户启用内容,从而触发VBA脚本。该脚本启动“check.bat”批处理脚本的下载和执行。“check.bat”脚本执行各种检查,包括验证远程连接会话是否存在、识别Windows操作系统版本以及检查系统体系结构。

随后,该脚本执行“wpns.dll”库,绕过UAC(用户帐户控制),并利用合法的Windows实用程序“wusa.exe”以提升的权限启动命令。

然后,它使用继承的提升权限运行“netpp.bat”批处理脚本。该脚本停止“netpp”服务,将必要的文件复制到“System32”目录,并创建一个名为“netpp”的服务,该服务在系统启动时自动启动。该恶意软件在添加注册表项并启动“netpp”服务后开始执行。

根据FortiGuard Labs博客文章,Konni RAT可以提取信息并在受感染的设备上执行命令。安装后,攻击者可以远程控制受感染的系统以窃取敏感数据、部署其他恶意软件或执行未经授权的活动。

该恶意软件会获取系统上的活动进程列表,并在执行压缩和加密后将数据发送到 C2 服务器。它还通过发送 HTTP 请求从 C2 服务器下载有效负载或命令。当它收到响应时,它会提取并解密数据,将其存储为临时文件,并执行 cmd 命令来扩展有效负载并启动进一步的操作。

考虑到截至2022年,Microsoft Office套件仍然是黑客最常利用的用于传播恶意软件的工具集,因此最新发现不应令人意外。

据观察,Konni活动针对的是世界各地的个人和组织,特别是中东和北非的个人和组织。为了保护自己免受Konni活动和类似恶意软件攻击,请避免打开来自未知发件人的电子邮件附件或主题行可疑的电子邮件。

此外,在Word文档中禁用宏,并且仅在您知道文档的来源和用途时才启用。最后,确保您的操作系统和应用程序更新到最新版本,以解决已知的安全漏洞。

发表评论

评论已关闭。

相关文章