Cubrimos una introducción al registro donde discutimos la lógica de la creación de registros y analizamos Konni RAT Malware, que fue desarrollado por el grupo persistente avanzado APT37 según MITRE ATT&CK. Realizamos un análisis dinámico de malware utilizando Cualquier.ejecutar Zona de pruebas de análisis de malware en la nube. El malware Konni se hace pasar por un archivo de documento de Word que, cuando se abre, descarga un ejecutable de software espía diseñado para actualizar y enviar datos de credenciales y sistema operativo de la máquina al servidor C2 principal. El malware utiliza powershell para ejecutar comandos del sistema para lograr los objetivos antes mencionados.

Notas de estudio de OSCP

Perfil gratuito Any.Run

Reflejos

Desde principios de 2014, Konni, una herramienta de administración remota, está disponible. Existen vínculos potenciales entre la familia de malware Konni y APT37, un grupo de ciberespionaje norcoreano que ha estado operativo desde 2012. Grupos políticos en Corea del Sur, así como en Japón, Vietnam, Rusia, Nepal, China, India, Rumania y Kuwait. y otras regiones de Medio Oriente, son las principales víctimas del grupo.

Lo que posiblemente sea más intrigante es que la muestra se incluyó en un instalador de software con puerta trasera al idioma ruso. Ya hemos visto este método de entrega de KONNI, donde se envía una muestra de 2023 a través de una instalación con puerta trasera para el programa de declaración de impuestos obligatorio por el estado ruso de acceso público “Spravki BK”.

Cuando se abre el documento, aparece una barra amarilla con las palabras "Habilitar contenido" y contenido ruso poco claro. Al presionar el botón se inicia un script VBA que muestra un artículo titulado “Evaluaciones occidentales del progreso de la operación militar especial” en ruso.

La información se recupera de “OLEFormat.IconLabel” mediante el script VBA y se guarda en una carpeta temporal con el nombre de archivo “temp.zip”. Después de la extracción del archivo, el script "check.bat" se ejecuta con la opción "vbHide", lo que garantiza que el script por lotes se ejecute sin mostrar una ventana de símbolo del sistema al usuario. Cuando un actor de amenazas quiere ejecutar de forma encubierta un script en segundo plano sin provocar ventanas visibles o interacción del usuario, esta técnica puede resultar muy útil.

Tutorial en vídeo | Análisis completo con Any.Run

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos