为什么会有恶意攻击平台（疑似东北亚某国黑客使用Konni）

安全研究人员发现了一项新的高级威胁活动，该活动归因于APT37，这是东北亚某国黑客组织，针对捷克，波兰和其他欧洲国家的专业黑客组织。

在攻击活动中，黑客使用被称为Konni的恶意软件，这是一种远程访问木马（RAT），能够在目标主机建立持久性并执行权限提升。

自2014年以来，Konni一直与东北亚某国的网络攻击有关。Securonix的研究人员观察和分析了最新且仍在进行的活动，他们称之为STIFF#BIZON。

攻击始于网络钓鱼电子邮件，其中包含Word文档(missile.docx)和Windows快捷方式文件（_weapons.doc.lnk.lnk）的存档附件。

打开 LNK 文件时，运行代码以在 DOCX 文件中查找 base64 编码的 PowerShell 脚本，以建立 C2 通信并下载两个附加文件“武器.doc”和“wp.vbs”。

下载的文件是一个诱饵，据说是俄罗斯战地记者奥尔加·博热娃（Olga Bozheva）的报道。同时，VBS 文件在后台静默运行，以在主机上创建计划任务。此时，RAT后门已经加载并建立了连接，并能执行以下操作：

• 捕获屏幕截图；
• 提取存储在本地状态文件中的状态密钥以进行 cookie 数据库解密；
• 从受害者的 Web 浏览器中提取保存的登录凭据；
• 启动一个远程交互式 shell，该 shell 可以每 10 秒执行一次命令。

虽然攻击活动的战术和工具集（TTP）指向APT37，但Securonix强调不排除APT28（又名FancyBear）的可能性。APT组织经常进行假旗活动，试图模仿其他知名APT组织的TTP来掩盖其踪迹，并以此误导威胁分析师。因此，研究人员仅凭有限的证据链，导致错误归因的可能性较大。

参考链接：bleepingcomputer.com