Abbiamo trattato un'introduzione alla registrazione in cui abbiamo discusso la logica della creazione dei registri e abbiamo analizzato il malware Konni RAT sviluppato dal gruppo di persistenza avanzato APT37 secondo MITRE ATT&CK. Abbiamo eseguito l'analisi dinamica del malware utilizzando Any.run Sandbox di analisi del malware nel cloud. Il malware Konni si maschera da file di documenti Word che, una volta aperto, scarica un eseguibile spyware progettato per sfruttare e inviare il sistema operativo della macchina e i dati delle credenziali al server C2 principale. Il malware utilizza PowerShell per eseguire comandi di sistema per raggiungere gli obiettivi sopra menzionati.
Punti salienti
Dall'inizio del 2014 Konni, uno strumento di amministrazione remota, è stato visto in circolazione. Esistono potenziali legami tra la famiglia di malware Konni e APT37, un gruppo di spionaggio informatico nordcoreano operativo dal 2012. Gruppi politici in Corea del Sud, nonché quelli in Giappone, Vietnam, Russia, Nepal, Cina, India, Romania, Kuwait , e altre regioni del Medio Oriente, sono le principali vittime del gruppo.
Ciò che forse è più intrigante è che l'esempio era incluso in un programma di installazione per software con backdoor in lingua russa. Abbiamo già visto questo metodo di consegna KONNI, in cui un campione del 2023 viene inviato attraverso un’installazione backdoor per il programma di dichiarazione dei redditi imposto dallo stato russo accessibile al pubblico “Spravki BK”.
Quando il documento viene aperto, viene visualizzata una barra di richiesta gialla con le parole "Abilita contenuto" e alcuni contenuti russi poco chiari. Premendo il pulsante si avvia uno script VBA che mostra un articolo intitolato "Valutazioni occidentali dello stato di avanzamento dell'operazione militare speciale" in russo.
Le informazioni vengono recuperate da "OLEFormat.IconLabel" dallo script VBA e salvate in una cartella temporanea con il nome file "temp.zip". Dopo l'estrazione del file, lo script "check.bat" viene eseguito con l'opzione "vbHide", garantendo che lo script batch venga eseguito senza visualizzare una finestra del prompt dei comandi all'utente. Quando un autore di minacce desidera eseguire di nascosto uno script in background senza causare finestre visibili o interazione con l'utente, questa tecnica potrebbe essere molto utile.
Videoprocedura dettagliata | Analisi completa con Any.Run
