E安全8月11日讯 据报道，身份不明的黑客组织使用远程访问木马KONNI攻击朝鲜组织机构。安全专家表示，2017年已发现三起针对朝鲜组织机构的攻击活动。

Cylance的安全专家表示，最近一起活动发生在7月，也就是在朝鲜最近成功试射洲际弹道导弹（ICBM）之后。研究人员表示，虽然这支黑客组织的动机不明，但似乎是对朝鲜事务感兴趣的目标实施网络间谍活动。

Cylance的研究人员表示，KONNI能隐藏在后台诱骗受害者执行有效载荷（Payload），这款恶意软件还具有键盘记录和截屏功能，从而让黑客窃取目标的数据。

Cylance研究人员指出，KONNI是一款相对较新的RAT，其使用的功能易于分析，并未绞尽脑汁隐藏自己的真实目的。利用社会工程技术和情报收集功能实施的攻击对受害实体造成的影响可能是毁灭性的，因为这些攻击都是利用用户的信任，这种方式甚至可以让攻击获得整个控制权。

据报道，最近两起活动中使用的诱饵文件显示，DarkHotel攻击和恶意软件KONNI之间存在关联。

KONNI是一款远程访问木马（RAT），已设法秘密活动超过3年，主要针对与朝鲜有关的实体。这款木马过去几年不断发展，现目前包括以下几种主要功能：

• 记录击键；

• 窃取文件；

• 捕捉截图；

• 收集被感染设备数据。

Cisco Talos今年发现的其中一起活动：该活动包含名为——“Pyongyang Directory Group email April 2017 RC_Office_Coordination_Associate.scr”的丢弃器（Dropper），执行时会打开Word文档。

Cylance的研究人员发现，诱饵文件“Pyongyang e-mail lists - April 2017”与近期一起DarkHotel（存在近十年的威胁组织）攻击活动使用的文件十分类似。

2014年11月，卡巴斯基发布报告详述了一起针对亚太地区商务旅行者的复杂网络间谍活动， DarkHotel从此浮出水面。

DarkHotel 成员似乎是韩国人，主要针对的目标包括朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、中国、美国、印度、莫桑比克、印度尼西亚和德国。

Bitdefender将新DarkHotel活动称为“Inexsmar”，该活动将目标瞄向对朝鲜感兴趣的政府工作人员。攻击使用的其中一个诱饵文件与KONNI攻击中使用的文件“Pyongyang e-mail lists - September 2016”十分相似，内容格式也一致。分析证实，标题均为“Pyongyang directory”的两个文件，作者均是“Divya Jacob”。

Cylance对KONNI进行了详细分析。该公司的专家认为，由于最近的关注度较高，恶意软件开发人员将发布包更多功能的新变种。