Cảnh báo email lừa đảo phát tán mã độc KONNI
An toàn thông tin - Ngày đăng : 09:16, 20/08/2020
Hoạt động từ năm 2014 nhưng không được chú ý đến trong suốt 3 năm vì KONNI chỉ được sử dụng trong các cuộc tấn công vào những mục tiêu quan trọng, bao gồm những cuộc tấn công nhắm vào Liên Hợp Quốc, Quỹ Nhi đồng Liên Hợp Quốc (UNICEF) và các tổ chức liên quan đến Triều Tiên. Các nhà nghiên cứu bảo mật cũng xác định được mối liên hệ giữa KONNI và DarkHotel.
Khi được cài trên máy tính của nạn nhân, mã độc KONNI có thể đánh cắp một lượng lớn thông tin, nhật ký tổ hợp phím (log keystrokes), chụp ảnh màn hình, lấy cắp dữ liệu và nội dung trong vùng nhớ tạm từ các trình duyệt như Chrome, Firefox, Opera và thực thi mã tùy ý.
Trong một cảnh báo mới được công bố, CISA cảnh báo về những email phát tán các tệp tin Microsoft Word có chứa mã macro của ứng dụng lập trình Visual Basic được thiết kế để tìm và cài đặt phần mềm độc hại KONNI.
CISCA giải thích rằng, mã macro được thiết kế để thay đổi màu phông chữ nhằm đánh lừa nạn nhân truy nhập tới nội dung cho phép, kiểm tra xem kiến trúc hệ thống là 32 bit hay 64 bit, đồng thời chạy dòng lệnh để tải về các tệp tin bổ sung. Công cụ dữ liệu chứng thực CertUtil được sử dụng để tải xuống các tệp tin từ xa.
Một tệp tin văn bản từ vị trí xa được tải xuống sau đó và được CertUtil giải mã và lưu dưới dạng tệp tin .BAT, được thực thi sau khi tệp tin văn bản được xóa bỏ.
Theo CISA, thông tin mà KONNI có thể thu thập bao gồm địa chỉ IP, tên người dùng, danh sách các tiến trình đang chạy cũng như thông tin chi tiết trên hệ điều hành, ổ đĩa được kết nối máy chủ và tên máy tính.
Cơ quan này cũng đã công bố danh sách những kỹ thuật MITRE ATT&CK (một framework về kỹ thuật - chiến thuật - chiến lược tấn công của tin tặc dựa vào những tình huống thực tế) được liên kết với KONNI cũng như những chữ ký Snort dành cho những nhà quản lý sử dụng để phát hiện các khai thác KONNI.
Để bảo vệ khỏi mối đe dọa này, người dùng và những người quản trị viên nên đảm bảo hệ thống được cập nhật, sử dụng các giải pháp chống virus trên thiết bị của họ. Bên cạnh đó, người dùng, quản trị viên cũng tránh mở các tệp tin đính kèm trên email từ những nguồn không xác định và nên thực hiện các chính sách liên quan đến quyền của người dùng, mật khẩu, các dịch vụ được phép, tải xuống phần mềm và giám sát hành vi của người dùng.