KakaoTalk: Konni APT kampány
A Genians kutatása szerint egy Észak-Koreához köthető Konni APT kampány a dél-koreai KakaoTalk üzenetküldő platformot használta malware terjesztésére és további fertőzések láncolására. A támadás kezdetben spear-phishing e-maillel indult, amely egy észak-koreai emberi jogi témájú meghívónak álcázott dokumentumot tartalmazott. A melléklet valójában egy rosszindulatú LNK fájl volt, amely futtatás után több lépcsős fertőzési láncot indított el és távoli hozzáférést biztosító malware-t telepített a rendszerre.
A fertőzés után a támadók RAT-alapú implantokat (EndRAT, RftRAT és RemcosRAT) telepítettek, amelyek lehetővé tették a fájlkezelést, parancssori hozzáférést, adatlopást és tartós jelenlétet a kompromittált rendszeren. A malware TCP-kapcsolaton keresztül kommunikált egy külső C2 szerverrel, és periodikus ütemezett feladatokkal tartotta fenn a kapcsolatot a támadók infrastruktúrájával.
A támadók a fertőzött felhasználó KakaoTalk fiókját is felhasználták további terjesztésre. A kompromittált PC-s kliensből a támadók rosszindulatú fájlokat küldtek a felhasználó ismerőseinek, így a támadás bizalmi kapcsolatokon keresztül terjedt tovább. Ez a módszer a hagyományos spear-phishinget egy önterjedő, kapcsolat-alapú fertőzési lánccá alakította.
A technikai elemzés szerint a kampány infrastruktúrája és malware-készlete jelentős átfedést mutat a Konni csoport korábbi műveleteivel, amelyeket más észak-koreai fenyegetési csoportokkal, például Kimsuky vagy APT37 aktivitásával is összefüggésbe hoztak.
