- Konni ist eine nordkoreanische fortschrittliche, persistente Bedrohungsgruppe, die seit einem Jahrzehnt aktiv ist.
- Ihr Hack beginnt mit einer Discord-Nachricht, die einen Link zu einem irreführenden ZIP-Archiv enthält.
- Forscher stellen fest, dass das Virus deutliche Anzeichen einer KI-Generierung zeigt.
Cybersicherheitsforscher haben Alarm geschlagen wegen eines ausgeklügelten neuen Malware-Systems. Die mit Nordkorea verbundene Hackergruppe Konni (auch bekannt als Opal Sleet und TA406) nutzt KI-generierte PowerShell-Malware, um Blockchain-Entwickler und -Ingenieure direkt ins Visier zu nehmen.
Konni ist eine nordkoreanische Gruppe für fortschrittliche persistente Bedrohung (APT), die seit mindestens einem Jahrzehnt aktiv ist. Während ihre Ziele in den Regionen Südkorea, Russland, der Ukraine und Europa liegen, wurde auch Asien-Pazifik auf die Liste gesetzt.
Die Gruppe ist mit anderen Cybergruppen der DVRK verbunden, wie APT37 und Kimsuky, und hat eine Erfolgsbilanz beim Diebstahl von Geld und Geheimnissen von Banken, Finanzsystemen und Technologieunternehmen.
Wie der Hack funktioniert
Experten, darunter Forscher von Check Point, haben detaillierte Berichte geteilt, die erklären, wie der Konni-Hack Schritt für Schritt funktioniert.
Der Hack beginnt mit einer Discord-Nachricht, die einen Link enthält. Ein Klick darauf lädt eine komprimierte Datei herunter, die legitim aussieht und sowohl eine PDF-Ablenkung als auch eine schädliche Windows-Verknüpfungsdatei enthält.
Verwandt: Hacker nutzen GANA-Zahlung über 3,1 Millionen Dollar auf BSC Chain aus
Das Öffnen der Verknüpfungsdatei startet einen PowerShell-Loader, der weitere Dateien entpackt. Dazu gehören ein gefälschtes DOCX-Dokument und ein Cabinet (CAB)-Archiv, das eine PowerShell-Backdoor, Batch-Skripte und eine ausführbare Datei enthält, die die Benutzerkontokontrolle (UAC) umgeht. Dadurch bleibt der Virus auf dem Computer des Opfers installiert.
Forscher stellen fest, dass das Virus deutliche Anzeichen einer KI-Generierung zeigt. Sein Code ist in separaten Blöcken aufgebaut, enthält ungewöhnlich ordentliche Kommentare und verwendet seltsamen Platzhaltertext, was ihn von typischer von Menschen geschriebener Malware unterscheidet.
Die bösartige Software richtet eine automatisierte stündliche Aufgabe ein, die als OneDrive-Startauftrag getarnt ist. Dadurch wird heimlich ein PowerShell-Befehl im Speicher des Computers entsperrt und gestartet. Nachdem der schädliche Teil des Programms ausgeführt ist, bereinigt es einige seiner eigenen Dateien, um seine Spuren zu verwischen.
Target on Blockchain-Entwickler
Im Gegensatz zu typischen Hacks, die zufällige Nutzer ins Visier nehmen, richtet sich dieser Angriff direkt gegen Softwareentwickler und Ingenieure, die Kryptoplattformen entwickeln. Diese Personen haben häufig Zugang zu API-Schlüsseln, Quellcode-Zugriffen und privaten Wallet-Schlüsseln.
Wenn sie gehackt werden, könnten sie Angreifern Kontrolle über wichtige Anwendungen und große Mengen an Krypto geben. Forscher haben beobachtet, dass diese Kampagne hauptsächlich Ziele in Japan, Australien und Indien trifft, was zeigt, dass die Hacker gezielt neue Regionen angreifen.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
