Nous avons couvert une introduction à la journalisation où nous avons discuté de la logique de création de journaux et nous avons analysé Konni RAT Malware qui a été développé par le groupe persisten avancé APT37 selon MITRE ATT&CK. Nous avons effectué une analyse dynamique des logiciels malveillants à l'aide Any.run bac à sable d'analyse des logiciels malveillants dans le cloud. Le malware Konni se présente sous la forme d'un fichier de document Word qui, une fois ouvert, télécharge un exécutable de logiciel espion conçu pour extraire et envoyer les données du système d'exploitation et des informations d'identification de la machine au serveur C2 principal. Le malware utilise PowerShell pour exécuter des commandes système afin d’atteindre les objectifs mentionnés ci-dessus.

Notes d'étude OSCP

Profil gratuit Any.Run

Points forts

Depuis début 2014, Konni, un outil d'administration à distance, a été aperçu dans la nature. Des liens potentiels existent entre la famille de malwares Konni et APT37, un groupe de cyberespionnage nord-coréen opérationnel depuis 2012. Des groupes politiques en Corée du Sud, ainsi qu'au Japon, au Vietnam, en Russie, au Népal, en Chine, en Inde, en Roumanie et au Koweït. , et d'autres régions du Moyen-Orient, sont les principales victimes du groupe.

Ce qui est peut-être plus intriguant, c'est que l'échantillon a été inclus dans un programme d'installation de logiciels qui a été détourné vers la langue russe. Nous avons déjà vu cette méthode de livraison KONNI, où un échantillon de 2023 est envoyé via une installation dérobée pour le programme de déclaration de revenus mandaté par l'État russe, accessible au public, « Spravki BK ».

Lorsque le document est ouvert, une barre d'invite jaune apparaît avec les mots « Activer le contenu » et du contenu russe peu clair. Appuyer sur le bouton lance un script VBA qui affiche un article intitulé « Évaluations occidentales des progrès de l'opération militaire spéciale » en russe.

Les informations sont récupérées de « OLEFormat.IconLabel » par le script VBA et enregistrées dans un dossier temporaire sous le nom de fichier « temp.zip ». Suite à l'extraction du fichier, le script « check.bat » est exécuté avec l'option « vbHide », garantissant que le script batch s'exécute sans afficher de fenêtre d'invite de commande à l'utilisateur. Lorsqu’un acteur malveillant souhaite exécuter secrètement un script en arrière-plan sans provoquer de fenêtre visible ni d’interaction de l’utilisateur, cette technique peut s’avérer très utile.

Vidéo pas à pas | Analyse complète avec Any.Run

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles