朝鲜Konni利用新年活动攻击俄罗斯外交部

近日，研究人员发现朝鲜APT组织名为Konni的攻击活动，该组织向俄罗斯大使馆外交官发送以新年问候为主题的电子邮件，以进行情报收集活动。本次攻击活动至少从2021年12月20日就开始，与该组织往常的攻击方式不同，这次并没有使用恶意文件作为附件，而是使用一个俄语中意为“祝贺”的“поздравление.zip”压缩文件作为附件，其中包含代表感染第一阶段的恶意软件。

朝鲜APT组织

众所周知，Konni集团的战术、技术和程序与属于更广泛的威胁行为者重叠金苏基保护伞，也被网络安全社区追踪，其绰号分别为Velvet Chollima、ITG16、黑女妖和铊。

Konni攻击活动

最近的攻击涉及行为人通过窃取的凭据获得对目标网络的访问权限，利用该立足点加载恶意软件以收集情报，并有活动的早期迹象备有证明文件的由MalwareBytes早在2021年7月。

这项活动的时间安排与俄罗斯疫苗护照法研究人员指出，这要求俄罗斯人必须从政府那里获得二维码来证明接种疫苗，才能进入餐馆和酒吧等公共场所。

入侵行为是通过首先泄露属于一名MID工作人员的电子邮件账户而发生的，从该账户向至少两个其他MID实体发送电子邮件，包括俄罗斯驻印度尼西亚大使馆和谢尔盖·阿列克谢耶维奇·里亚布科夫他是负责防扩散和军备控制的副部长。

这封邮件似乎传播了一条“新年快乐”的信息，只是包含了一个木马化的屏保附件，该附件旨在从远程服务器检索和运行下一阶段的可执行文件。攻击的最后阶段是部署Konni RAT特洛伊木马，它对受感染的机器进行侦察，并将收集到的信息过滤回服务器。

该研究人员表示:“虽然这一特定活动的针对性很强，但对于维权者来说，了解先进行为者不断发展的能力以实现对梦寐以求的目标的感染至关重要。”他敦促组织警惕网络钓鱼电子邮件，并使用多因素身份验证来保护账户。