Kifinomult támadási módszerek
A támadás a Discordon tárolt linkkel kezdődik, amely egy ZIP-fájlt tölt le. Ez egy csábító PDF-dokumentumot és egy rosszindulatú LNK-parancsikont rejt. Az LNK-fájl beágyazott PowerShell-betöltőt futtat, amely kibont egy DOCX-dokumentumot és egy CAB-archívumot – ez utóbbiban található a PowerShell-alapú hátsóajtó, két kötegelt fájl és egy UAC-megkerülő végrehajtható állomány.
A parancsikon futtatása megnyitja a DOCX-et, és elindít egy kötegelt fájlt, amely folytatja a fertőzési láncot. A dokumentum azt sugallja, hogy a hackerek fejlesztői környezeteket akarnak kompromittálni, ezzel hozzáférve érzékeny infrastruktúrához, API-jogosultságokhoz, pénztárcákhoz, végső célként pedig a kriptovalutákhoz való hozzáférés megszerzéséhez.
Automatikus fertőzési folyamat
Az első kötegelt fájl létrehoz egy staging-könyvtárat és egy óránként futó ütemezett feladatot, amely OneDrive-indítási folyamatnak álcázza magát. Ez a feladat egy XOR-ral titkosított PowerShell-szkriptet olvas lemezről, majd memóriaalapon futtatja, végül önmagát törli, hogy eltüntesse a nyomokat.
MI által generált hátsóajtó
A PowerShell-hátsóajtót homályosító, matematikai alapú karakterlánc-kódolás és futásidőben rekonstruált logika teszi nehezen visszafejthetővé. Szokatlan módon részletesen dokumentált, jól strukturált kódot használnak, ami arra utal, hogy MI írta. A kódon olyan megjegyzés is található, amely gyakran előfordul MI által generált szkriptekben.
Folyamatos kommunikáció és védekezés
A kártevő felméri a gép hardverét, szoftverét, felhasználói aktivitását, majd egyedi azonosítóval látja el a fertőzött rendszert. Privilegizált hozzáféréstől függően eltérő műveletsort hajt végre. Miután stabilan fut, folyamatosan adatokat küld a támadók szerverére, és távoli PowerShell-parancsokat vár.
A Konni-féle támadások felismerhetők a korábbi támadási láncok struktúrája és a fájlnevek alapján. A védekezés érdekében a kutatók közzétették a legújabb támadáshoz tartozó kompromittáló indikátorokat.
