到目前为止，Konni RAT 已经设法逃避检测，因为 VirusTotal 上只有 3 个安全解决方案能够检测到恶意软件。

Malwarebytes Labs 的 IT 安全研究人员报告了一个新的和正在进行的恶意软件活动，其中主要目标是俄罗斯。攻击者在这次攻击中投放的有效载荷是 Konni RAT，它于 2014 年首次被发现，被称为Thallium 和 APT37 的朝鲜黑帽黑客组织使用。

另一方面，2017 年 7 月 6 日，也就是导弹试验几天后，朝鲜也遭到了 Konni RAT 的袭击。当时，卡巴斯基实验室声称，Konni 恶意软件活动背后的黑客可能来自韩国，而攻击很可能来自韩国。

该活动的作案手法涉及社会工程技术，例如诱使受害者下载使用恶意宏进行武器化的文档文件。一旦受害者启用宏，它就会执行一系列活动，包括部署一个经过严重混淆的新 Konni RAT 变体。

在其他功能中，Konni Rat 配备了屏幕捕获和键盘记录功能，因此它可以从目标计算机窃取数据。然而，在正在进行的活动中，恶意软件使用cmd /c systeminfo命令来收集设备信息，包括：

安全信息

操作系统配置

硬件数据，如磁盘空间、RAM 大小和网卡信息等）

截至目前，研究人员仅确定了该活动中使用的两个文件。其中一份文件涉及朝鲜半岛与俄罗斯之间的贸易和经济问题，而另一份文件则声称涉及政府间俄罗斯 - 蒙古委员会之间的会议纪要。

值得注意的是，这两个文件都是用俄语编写的，如下面的屏幕截图所示：

在一篇博客文章中，威胁情报小组的 Hossein Jazi 强调，APT37 可能会使用 Konni RAT 来攻击俄罗斯和韩国的政治组织。但是，Jazi 警告说，Konni's 不仅限于这些国家，因为在以下国家也观察到了它的感染：

日本

尼泊尔

蒙古

越南

尽管如此，Jazi 指出，迄今为止，Konni RAT 新变种背后的威胁行为者已设法逃避对大多数使用的反病毒产品的检测，因为在发布本文时，VirusTotal 上只有 3 个安全解决方案能够检测恶意软件。

尽管此示例被严重混淆，但其功能并没有太大变化，并且与之前的版本相似。看来这个演员只是使用了一个严重的混淆过程来阻碍所有的安全机制。研究人员总结说，在分析时对该样本的 VirusTotal 检测为 3，这表明攻击者成功地使用了混淆并绕过了大多数 AV 产品。

(来源：HackRead)