如果你对朝鲜的导弹计划感兴趣，请小心恶意软件

朝鲜声称已经进行了洲际弹道导弹（ICBM）的首次试验华松-14美国官员认为，该国可能发射了一枚前所未有的全新导弹。
现在，就在试射导弹发射一天后，黑客们开始利用这一消息瞄准对朝鲜导弹库感兴趣的人。几十年来，朝鲜的导弹库已经从原始的火炮火箭弹发展到测试该国声称可以打击美国目标的远程导弹。
Talos Intelligence的网络安全研究人员发现了一个新的恶意软件活动，该活动于7月4日开始，以KONNI为目标，KONNI是一种未知的远程访问特洛伊木马（RAT），已经使用了三年多。
KONNI恶意软件是一种远程访问特洛伊木马，旨在窃取文件、记录击键、执行屏幕截图、获取系统信息，包括主机名、IP地址、用户名、操作系统版本和安装的软件，以及在受感染的计算机上执行恶意代码。

KONNI恶意软件是如何工作的？

黑客使用电子邮件附件作为初始感染媒介，通过一个可执行文件传播特洛伊木马，打开该文件时，会显示一份伪装成关于测试导弹发射的文章的MS Office文档。



然而，该文件的内容是从韩国联合通讯社7月3日发表的一篇文章中复制/粘贴的。

实际上，恶意可执行文件会删除KONNI的两个不同版本：事件动态链接库和错误事件，动态链接库。

在64位版本的Windows上，两个二进制文件都会被删除，而只有errorevent。dll在32位版本的Windows上被删除。
研究人员说，然后立即执行丢弃的恶意软件，以“确保恶意软件持续存在，并在重新启动受损系统时执行”。

C&amp：C服务器伪装成合法的攀岩俱乐部网站

该恶意软件使用一个新的命令和控制服务器，该服务器托管在一个伪装成合法攀岩俱乐部的网站上，但该网站实际上并不包含任何真实文本，而是CMS（内容管理系统）的默认文本。

C&amp：恶意软件的流量也发生在“HTTP将请求发送到域本身上托管为/weget/download.php、/weget/uploadtm.php或/weget/upload.php的网页。”

此外，该网站还包含一个联系人部分，地址在美国，但地址下方的地图指向韩国首尔的一个位置。

研究人员得出结论：“与KONNI有关的威胁行为人通常使用与朝鲜有关的诱饵文件，此次活动也不例外。然而，与从第三方获得的令人信服的诱饵文件相比，CnC服务器上托管的诱饵网站的内容看起来并不合法。”。

“尽管如此，该威胁行为人仍在继续活动，并继续开发其恶意软件的更新版本。可能对本诱饵文件的内容感兴趣的组织以及在以前的活动中使用的组织应确保其受到充分保护，免受本次和后续活动的影响。”

因此，我建议用户保持对此类恶意软件的保护，始终对通过电子邮件发送的未经邀请的文档持怀疑态度，除非验证其来源，否则永远不要点击这些文档中的链接。

此外，请随时更新您的系统和防病毒软件，以抵御任何最新的威胁。