کمیته رکن چهارم – محققان سیسکو تالوس روز چهارشنبه گزارش دادند که یک تروجان دسترسی از راه دور (RAT) که با تلاشهای خود توانسته نزدیک به ۳ سال ناشناس باقی بماند، سازمانهای مرتبط با کرهی شمالی را هدف قرار داده است.
به گزارش کمیته رکن چهارم،این بدافزار KONNI نام داشته و به دلیل اینکه در حملات بسیار سطح بالا مورد استفاده قرار گرفته، توانسته است سامانههای تشخیص بدافزار را دور بزند. این بدافزار در طول چند سال تکامل یافته و نسخهی فعلی آن دارای قابلیت سرقت اطلاعات و اجرای کد دلخواه بر روی ماشین آلوده است.
محققان سیسکو تالوس گزارش دادهاند که در طول چند سال گذشته، پویشهای زیادی از این بدافزار استفاده کردهاند. در این حمله، بدافزار KONNI تنها یکبار اجرا شده و به سرقت اطلاعات از دستگاه آلوده، از جمله کلیدهای فشردهشده، محتوای حافظهی کلیپبورد و اطلاعات مرتبط با مرورگرهای وب کروم، فایرفاکس و اپرا میپردازد.
حملات در سال ۲۰۱۶ میلادی از بدافزار با معماری متفاوتی استفاده میکرد و در آن ویژگیهای جدیدی معرفی شده بود که به مهاجم اجازهی بارگذاری و بارگیری پروندهها و اجرای کد دلخواه را میداد. پس از بررسی این پویش محققان شواهدی را مبنی بر این کشف کردند که این حملات در سال ۲۰۱۵ میلادی نیز اتفاق افتاده است.
محققان امنیتی میگویند امسال دو پویش مربوط به بدافزار KONNI را مورد بررسی قرار دادهاند. در یکی از اسنادی که بهعنوان طعمه مورد استفاده قرار گرفته، عنوان «فهرست رایانامههای پیونگیانگ-فوریه ۲۰۱۷» درج شده است. این پرونده شامل آدرس رایانامه و شماره تلفن افرادی است که در سازمانهایی مانند سازمان ملل متحد، یونیسف و سفارتخانه مربوط به کره شمالی فعالیت میکنند.
محققان میگویند نسخهی آخر این بدافزار نسبت به نمونههای قبلی دارای ویژگیهایی همچون جمعآوری اطلاعات سامانه و گرفتن اسکرینشات است. مهاجمان همچنین نسخهی ۶۴ بیتی از این بدافزار را نیز توسعه دادهاند. در تمامی پویشهایی که از این بدافزار استفاده شده، افراد و سازمانها در کرهی شمالی هدف قرار گرفتهاند. آخرین حملات مربوط به این بدافزار چند روز قبل آغاز شده و همچنان فعال است.
منبع:
security week
