Konni фишинг арқылы EndRAT зиянды бағдарламасын таратып, KakaoTalk арқылы malware жеткізуді жүзеге асырады

Бұл әрекеттерді оңтүстіккореялық Genians компаниясы Konni деп аталатын хакерлік топқа теліді.

Genians Security Center (GSC) талдауында:
«Бастапқы қол жеткізу алушыны Солтүстік Кореядағы адам құқықтары бойынша лектор ретінде тағайындау туралы хабарлама түрінде жасырылған spear-phishing хат арқылы жүзеге асырылды», — делінген.

«Spear-phishing шабуылы сәтті болғаннан кейін, құрбан зиянды LNK файлын іске қосты, нәтижесінде жүйе қашықтан басқару мүмкіндігі бар зиянды бағдарламаға жұқты. Бұл malware ұзақ уақыт бойы жасырын түрде жүйеде қалып, ішкі құжаттар мен сезімтал ақпаратты ұрлады».

Шабуылдаушылар бұзылған жүйеде ұзақ уақыт бойы қалып, рұқсатсыз қолжетімділікті пайдаланып ішкі деректерді шығарып отырған. Сонымен қатар, олар KakaoTalk қосымшасын қолданып, зиянды файлдарды нақты таңдалған контакттарға таратқан.

Бұл шабуылдың ерекшелігі — бұзылған пайдаланушыға деген сенімді пайдаланып, жаңа құрбандарды алдау. Konni тобы бұл мессенджерді алғаш рет қолданып отырған жоқ. 2025 жылдың қарашасында олар KakaoTalk-тағы белсенді сессияларды пайдаланып, құрбандардың контакттарына ZIP архив түрінде зиянды файлдар жіберген. Сонымен қатар, ұрланған Google деректері арқылы Android құрылғыларын қашықтан өшіру әрекеттерін де жасаған.

Соңғы шабуыл науқанының бастапқы кезеңі — spear-phishing хат. Онда пайдаланушыны ішінде Windows shortcut (LNK) файлы бар ZIP архивті ашуға итермелейді. LNK файлы іске қосылғаннан кейін:

• сыртқы серверден келесі кезеңдегі зиянды жүктемені жүктейді

• жоспарланған тапсырмалар (scheduled tasks) арқылы жүйеде тұрақтылық (persistence) орнатады

• соңында malware іске қосылады

Сонымен қатар, қолданушының назарын басқа жаққа аудару үшін жалған PDF құжаты көрсетіледі.