Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Конни хакери ја претворија Google-овата Find Hub во оружје за бришење податоци од далечина

Објавено: 11.11.2025

Севернокорејски поврзана група за закани позната како Konni (позната и како Earth Imp, Opal Sleet, Osmium, TA406 и Vedalia) ѝ е припишана нова серија напади насочени кон Android и Windows уреди за кражба на податоци и далечинска контрола.

„Напаѓачите се претставувале како психологи и активисти за човекови права поврзани со Северна Кореја, распространувајќи малициозен софтвер маскиран како програми за олеснување од стрес,“ изјави Genians Security Center (GSC) во технички извештај.

Забележително за нападите насочени кон Android уредите е и уништувачката способност на актерите да ја искористат сервисот за следење на уреди на Google, Find Hub (порано Find My Device), за далечинско ресетирање на жртвените уреди, што резултира со неовластено бришење на личните податоци. Активноста била откриена на почетокот од септември 2025 година.

Овој развој означува прв пат групата да ја оружи легитимната функција за управување за далечинско ресетирање на мобилни уреди. Активноста е претходена од ланец на напади во кој напаѓачите пристапуваат до целите преку spear-phishing мејлови за да добијат пристап до нивните компјутери, и ги искористуваат активните сесии на апликацијата KakaoTalk за да ги распространат злонамерните пакетни датотеки (ZIP) до контактите.

Се тврди дека spear-phishing мејловите имитираат легитимни институции како Националната даночна служба за да ги измамат примачите да отворат злонамерни прилози кои доставуваат тројани за далечински пристап како Lilith RAT, кои можат да ги покорат компромитираните машини и да достават дополнителни имплементи.

Konni Тек на нападот

„Актерот на закана останал сокриен во компромитираниот компјутер повеќе од една година, шпионирајќи преку веб-камерата и управувајќи со системот кога корисникот бил отсутен,“ забележа GSC. „Во тој процес, пристапот добиен за време на почетната компромитација овозможува контрола над системот и дополнително собирање информации, додека тактиките за избегнување дозволуваат долгорочно прикривање.“

Злонамерниот софтвер поставен на компјутерот на жртвата им овозможува на актерите да вршат внатрешно разузнавање и мониторинг, како и ексфилтрација на кориснички кредензјали од Google и Naver. Украдените Google кредензјали потоа се користат за најавување во Google-овата услуга Find Hub и иницирање на далечинско бришење на уредите на жртвата.

Во еден случај, напаѓачите биле пронајдени дека се најавуваат во recovery email акаунт регистриран на Naver, бришат безбедносни известувања од Google и ја празнат папката со избришани пораки во inbox-от за да ги сокријат траговите од злонамерните активности. ZIP-фајлот кој се шири преку апликацијата за пораки содржи злонамерен Microsoft Installer (MSI) пакет („Stress Clear.msi“), кој злоупотребува валидно дигитално потпишување издадено на кинеска компанија за да ѝ даде илузија на легитимност. Откако ќе се покрене, тој повикува batch скрипта за извршување на почетна поставка и продолжува да извршува Visual Basic Script (VBScript) кој прикажува лажна порака за грешка поврзана со компатибилноста на јазичен пакет, додека злонамерните команди се извршуваат во позадина.

Тоа вклучува стартување AutoIt скрипта која е конфигурирана да се извршува секоја минута преку задачата за распоредување (scheduled task), со цел да извршува дополнителни команди примени од надворешен сервер („116.202.99[.]218“). Иако малверот дели некои сличности со Lilith RAT, поради разликите што се забележани тој е каталогизиран како EndRAT (познат и како EndClient RAT според безбедносниот истражувач Ovi Liber).

Листата на поддржани команди е следна:

  • shellStart — да започне далечинска shell сесија
  • shellStop — да запре далечинска shell сесија
  • refresh — да испрати информации за системот
  • list — да ги наброи дисковите или коренската директорија
  • goUp — да се премести едно ниво нагоре во директориската структура
  • download — да ексфилтрира датотека
  • upload — да прими датотека
  • run — да изврши програма на хостот
  • delete — да избрише датотека на хостот

Genians велат дека APT-актерите Konni исто така користеле AutoIt скрипта за да го покренат Remcos RAT верзија 7.0.4, која била објавена од нејзините одржувачи Breaking Security на 10 септември 2025 година, што укажува дека напаѓачот активно користи нови верзии од тројанецот во своите напади. Исто така, на компромитирани уреди биле забележани Quasar RAT и RftRAT, друг тројанец кој претходно бил користен од страна на Kimsuky во 2023 година.

„Ова сугерира дека малверот е прилагоден за операции фокусирани кон Кореја и дека добивањето релевантни податоци и спроведување темелна анализа бара значителен напор,“ рече јужнокорејската компанија за сајбер-безбедност.

Новиот варијант на Comebacker од групата Lazarus — детали

Објавата доаѓа додека ENKI ја опиша употребата на ажурирана верзија на Comebacker од страна на Lazarus Group во напади насочени кон организации од воздухопловството и одбранбениот сектор, користејќи прилагодени Microsoft Word примамки во контекст на шпионска кампања. Примамките се маскираат во име на организации како Airbus, Edge Group и Indian Institute of Technology Kanpur.

Ланчето на инфекција започнува кога жртвите го отворат фајлот и овозможат macros, што предизвикува исполнетиот VBA код да се изврши и да достави декој документ кој се прикажува на корисникот, заедно со loader компонента која е одговорна за стартување на Comebacker во меморија. Малверот воспоставува комуникација со командно-контролен (C2) сервер преку HTTPS и влегува во циклус за постојано полнење на нови команди или симнување шифриран payload и негово извршување.

„Употребата на многу специфични примамки од страна на актерот укажува дека ова е таргетиран spear-phishing кампaња,“ рече ENKI во техничкиот извештај. „Иако нема пријави за жртви до сега, C2 инфраструктурата останува активна во моментот на објавувањето.“

Kimsuky користи нов JavaScript dropper

Наодите се поклопуваат со откритието на нов JavaScript-базиран malware dropper што бил користен од Kimsuky во нивните неодамнешни операции, што демонстрира продолжена рафинација на нивниот малверски арсенал. Почетниот механизам за пристап преку кој JavaScript-малверот се дистрибуира моментално не е познат.

Тек на JavaScript dropper-от на Kimsuk

Почетната точка на нападот е иницијалната JavaScript датотека („themes.js“) која контактира инфраструктура контролирана од напаѓачот за да преземе повеќе JavaScript код кој е способен да извршува команди, да ексфилтрира податоци и да преземе третостепен JavaScript payload за да креира закажана задача која ќе ја покренува првата JavaScript датотека секоја минута и ќе отвора празен Word документ, веројатно како мамка.

„Бидејќи Word документот е празен и не извршува макра во позадина, тој може да биде примамка,“ рече Pulsedive Threat Research во анализа објавена минатата недела.

Извори:

  • The Hacker News – Konni Hackers Turn Google’s Find Hub into a Remote Data-Wiping Weapon The Hacker News