朝鲜网络行动相关的KONNI恶意软件以俄罗斯外交部为目标

德国网络安全公司DCSO发现了2024年1月上传到VirusTotal的恶意软件样本，据信该样本是针对俄罗斯外交部(MID)的与朝鲜相关活动的一部分。该恶意软件被认为是KONNI，这是一款自2014年以来使用的朝鲜关系工具。

KONNI于2014年首次被发现，与Konni Group和TA406等朝鲜民主主义人民共和国(DPRK)关系体有关联。该恶意软件具有独特的窃取功能和远程管理功能。它安装在MSI文件中，其中包含使用AES-CTR加密的C2服务器，以及用于检测和有效负载选择的CustomAction。

在最新发现中，研究人员指出，KONNI的命令集保持不变，允许操作员执行命令、上传/下载文件、指定睡眠间隔、通过HTTP进行通信以及将文件扩展名压缩到.CAB存档中。

有趣的是，分析的DCSO样本是通过带后门的俄语软件安装程序交付的，类似于之前观察到的KONNI交付技术。该样本针对名为“Statistika KZU”的工具，据信该工具旨在供俄罗斯MID内部使用。该软件用于通过安全通道将年度报告文件从海外领事馆转发到MID领事部。

此外，在后门安装程序中还发现了两份用户手册，详细介绍了“Statistika KZU”程序的安装和使用。第一个手册解释了在管理帐户上安装程序，提供最低软件要求和屏幕截图。

第二本22页手册“StatRKZU_Pyкoвoдcтвo”概述了如何使用该软件生成有关KZU领事活动的年度报告文件，包括用于计算登记和被拘留公民的模板。

MID的软件被称为“GosNIIAS”（一家主要从事航空航天研究的俄罗斯联邦研究机构），经过离线测试并被证明是合法的。尽管GosNIIAS和Statistika KZU之间没有直接关联，但仍发现了合同参考，包括自动化系统维护和数据保护软件的采购订单。

这一发现是在俄罗斯于2022年再次入侵乌克兰之后，俄罗斯与朝鲜之间的地缘政治日益接近的背景下出现的。

这并不是俄罗斯和朝鲜第一次因网络安全威胁而集体成为头条新闻。2023年8月，世界见证了另一起重大事件，隶属于OpenCarrot和Lazarus组织的“朝鲜精英黑客”入侵了俄罗斯主要导弹开发商NPO Mashinostroyeniya。这次入侵持续了至少五个月，暴露了攻击者令人震惊的能力和决心。

KONNI已被用于许多针对俄罗斯机构的网络间谍活动。FortiGuard Labs于2023年11月发现了KONNI恶意软件活动，通过带有恶意宏的Word文档针对Windows系统。Malwarebytes研究人员发现，2021年中期，有一场使用俄语诱饵的活动，涉及俄罗斯-韩国贸易和经济问题以及俄罗斯-蒙古政府间委员会的一次会议。

2017年，一个未知的黑客组织使用KONNI恶意软件针对朝鲜组织。当时发现了三起活动，其中两起是由思科旗下网络安全公司Talos Intelligence发起的，第三起是由Cylance安全公司报告的。

为了获得对此的见解，我们联系了Bambenek Consulting总裁John Bambenek，他强调说：“情报机构甚至对他们假定的盟友进行间谍活动的情况并不少见，即使不为别的，也是为了寻求加强关系或破坏关系的见解。”识别并减轻威胁。”

班贝内克先生强调，“在几乎完全由俄罗斯外交部使用的软件中使用后门的情况很引人注目，这表明朝鲜在这里进行了研究，以针对受害者进行特定的钩子，具有讽刺意味的是，这是一种更有针对性和更精确的改编俄罗斯情报机构对NotPetya使用的方法。”

“间谍活动有一些细微差别，有时您需要更复杂的工具，而对于某些攻击，您需要狭窄且更简单的工具。对于间谍活动，您需要长期持续的感染，而复杂的交互式工具可以为防御者提供更多的检测机会。用于间谍活动的工具缺乏网络犯罪工具中常见的一些混淆功能的情况并不少见，”他补充道。