Хакеры атакуют КНДР после испытаний баллистических ракет

В нынешнем году зафиксированы три разные вредоносные кампании против северокорейских организаций.

Неизвестная киберпреступная группировка атаковала организации в КНДР с помощью вредоносного ПО Konni. Вредонос представляет собой троян для удаленного доступа (RAT), оснащенный всеми функциями бэкдора, в том числе способностью создавать профиль хоста и предоставлять удаленный доступ к зараженной системе. RAT также может делать снимки экрана, похищать данные и записывать нажатия клавиш на клавиатуре.

В 2017 году были зафиксированы три разные компании против северокорейских предприятий с использованием Konni. Первые две были обнаружены исследователями Cisco Talos Intelligence. Эксперты зафиксировали первые атаки 6 июля – через несколько дней после испытаний КНДР баллистических ракет.

О еще одной кампании на этой неделе сообщили исследователи Cylance. Хакеры рассылают своим жертвам фишинговые письма с вложенным документом Word, содержащим новостную статью корейского информагентства Yonhap. Документ инфицирован вредоносным исполняемым файлом, заражающим компьютер при его открытии. После выполнения вредонос подключается к подконтрольному злоумышленникам C&C-серверу и ждет дальнейших инструкций.

Кто и зачем атакует северокорейские организации, пока неизвестно. По мнению экспертов, за атаками могут стоять стороны, обеспокоенные угрозой ядерной безопасности, которую представляет КНДР.