لقد قمنا بتغطية مقدمة للتسجيل حيث ناقشنا منطق إنشاء السجلات وقمنا بتحليل برنامج Konni RAT Malware الذي تم تطويره بواسطة مجموعة APT37 المتقدمة وفقًا لـ MITRE ATT&CK. لقد أجرينا تحليلًا ديناميكيًا للبرامج الضارة باستخدام Any.run صندوق الحماية لتحليل البرامج الضارة السحابية. تتنكر برامج Konni الضارة كملف مستند Word، والذي عند فتحه يقوم بتنزيل برنامج تجسس قابل للتنفيذ مصمم لاستخراج بيانات نظام تشغيل الجهاز وبيانات الاعتماد وإرسالها إلى خادم C2 الرئيسي. تستخدم البرمجيات الخبيثة بوويرشيل لتنفيذ أوامر النظام لتحقيق الأهداف المذكورة أعلاه.
يسلط الضوء
منذ أوائل عام 2014، شوهدت Konni، وهي أداة للإدارة عن بعد، في البرية. توجد علاقات محتملة بين عائلة البرامج الضارة Konni وAPT37، وهي مجموعة تجسس إلكترونية كورية شمالية تعمل منذ عام 2012. الجماعات السياسية في كوريا الجنوبية، وكذلك تلك الموجودة في اليابان وفيتنام وروسيا ونيبال والصين والهند ورومانيا والكويت. ومناطق أخرى من الشرق الأوسط، هم الضحايا الرئيسيون للجماعة.
الأمر الأكثر إثارة للاهتمام هو أن العينة تم تضمينها في برنامج تثبيت لبرنامج تم إدخاله خلفيًا إلى اللغة الروسية. لقد رأينا بالفعل طريقة تسليم KONNI هذه، حيث يتم إرسال عينة من عام 2023 من خلال تثبيت بباب خلفي لبرنامج تقديم الضرائب الروسي الذي تفرضه الدولة والذي يمكن الوصول إليه بشكل عام "Spravki BK".
عند فتح المستند، يظهر شريط مطالبة أصفر اللون به عبارة "تمكين المحتوى" وبعض المحتوى الروسي غير الواضح. يؤدي الضغط على الزر إلى تشغيل برنامج VBA النصي الذي يعرض مقالًا بعنوان "التقييمات الغربية لتقدم العملية العسكرية الخاصة" باللغة الروسية.
يتم استرداد المعلومات من "OLEFormat.IconLabel" بواسطة البرنامج النصي لـ VBA ويتم حفظها في مجلد مؤقت باسم الملف "temp.zip". بعد استخراج الملف، يتم تنفيذ البرنامج النصي "check.bat" باستخدام خيار "vbHide"، مما يضمن تشغيل البرنامج النصي الدفعي دون عرض نافذة موجه الأوامر للمستخدم. عندما يريد جهة التهديد تنفيذ برنامج نصي سرًا في الخلفية دون التسبب في أي نوافذ مرئية أو تفاعل المستخدم، فقد تكون هذه التقنية مفيدة جدًا.
تجول الفيديو | تحليل كامل مع Any.Run
