Wir haben eine Einführung in die Protokollierung gegeben, in der wir die Logik der Protokollerstellung besprochen haben, und wir haben die Konni RAT Malware analysiert, die von der Advanced Persistent Group APT37 gemäß MITRE ATT&CK entwickelt wurde. Wir haben eine dynamische Malware-Analyse durchgeführt mit Jeder.lauf Sandbox zur Analyse von Cloud-Malware. Die Konni-Malware tarnt sich als Word-Dokumentdatei und lädt beim Öffnen eine Spyware-Programmdatei herunter, die darauf ausgelegt ist, Betriebssystem- und Anmeldedaten des Computers auszulesen und an den Haupt-C2-Server zu senden. Die Malware verwendet Powershell, um Systembefehle auszuführen und die oben genannten Ziele zu erreichen.
Höhepunkte
Seit Anfang 2014 ist Konni, ein Tool zur Fernverwaltung, im Umlauf. Es bestehen mögliche Verbindungen zwischen der Konni-Malware-Familie und APT37, einer nordkoreanischen Cyber-Spionage-Gruppe, die seit 2012 aktiv ist. Die Hauptopfer der Gruppe sind politische Gruppen in Südkorea sowie in Japan, Vietnam, Russland, Nepal, China, Indien, Rumänien, Kuwait und anderen Regionen des Nahen Ostens.
Was vielleicht noch faszinierender ist, ist, dass das Sample in einem Installationsprogramm für Software enthalten war, das über eine Hintertür in die russische Sprache verfügte. Diese KONNI-Übermittlungsmethode kennen wir bereits, bei der ein Sample aus dem Jahr 2023 über eine Installation mit Hintertür für das öffentlich zugängliche russische, staatlich vorgeschriebene Steuererklärungsprogramm „Spravki BK“ gesendet wird.
Beim Öffnen des Dokuments erscheint eine gelbe Eingabeaufforderung mit den Worten „Inhalt aktivieren“ und einigen unklaren russischen Inhalten. Durch Drücken der Schaltfläche wird ein VBA-Skript gestartet, das einen Artikel mit dem Titel „Westliche Einschätzungen zum Verlauf der speziellen Militäroperation“ auf Russisch anzeigt.
Informationen werden vom VBA-Skript aus „OLEFormat.IconLabel“ abgerufen und in einem temporären Ordner mit dem Dateinamen „temp.zip“ gespeichert. Nach dem Extrahieren der Datei wird das Skript „check.bat“ mit der Option „vbHide“ ausgeführt, um sicherzustellen, dass das Batch-Skript ausgeführt wird, ohne dem Benutzer ein Eingabeaufforderungsfenster anzuzeigen. Wenn ein Bedrohungsakteur ein Skript verdeckt im Hintergrund ausführen möchte, ohne sichtbare Fenster oder Benutzerinteraktionen zu verursachen, kann diese Technik sehr hilfreich sein.
Video-Komplettlösung | Vollständige Analyse mit Any.Run
