KONNI là Trojan Truy cập Từ xa (RAT) được liên kết chặt chẽ với các cơ quan trí tuệ của Triều Tiên. Các nhà nghiên cứu an ninh mạng đã có thể kết nối vì sau vụ thử thành công tên lửa đạn đạo xuyên lục địa năm 2017 của Triều Tiên, đã có sự gia tăng đột biến trong các chiến dịch lừa đảo liên quan đến khả năng có được của Triều Tiên. Các chiến dịch KONNI tương tự đã xảy ra vào năm 2014 và chúng cũng dẫn đến kết luận rằng KONNI là một vũ khí gián điệp được tạo ra cho bất kỳ ai quan tâm đến các vấn đề của Triều Tiên, đặc biệt là các chương trình hạt nhân và tên lửa đạn đạo của nước này. Mặc dù không rõ mục tiêu của phần mềm độc hại là gì, nhưng người ta có thể kết luận rằng nó chủ yếu là về việc lập hồ sơ máy tính của các nạn nhân bị nhiễm để xác định mục tiêu cho các cuộc tấn công bền vững hơn. Hầu hết các mục tiêu của KONNI đều có trụ sở tại khu vực Châu Á Thái Bình Dương.
Trojan KONNI làm gì?
Phần mềm độc hại KONNI chủ yếu lây nhiễm vào máy tính thông qua tài liệu Word bị ô nhiễm. Phần mềm độc hại này tiếp cận hầu hết nạn nhân của nó dưới dạng tệp đính kèm email.
Trong khi các nạn nhân đang tải xuống tệp, phần mềm độc hại được tải trong nền nơi nó thực thi tải trọng của mình. KONNI sau đó bắt đầu mục tiêu chính là trinh sát và thu thập thông tin. Nó lập hồ sơ mạng máy tính của một tổ chức, chụp ảnh màn hình, đánh cắp mật khẩu, lịch sử duyệt web và thường tìm kiếm bất kỳ thông tin nào mà nó có thể sử dụng. Sau đó, thông tin được gửi đến một trung tâm chỉ huy và điều khiển.
Phần mềm độc hại có thể thực hiện việc này bằng cách tạo thư mục Windows trong thư mục cài đặt cục bộ của người dùng hiện tại với sự kiện MFAData \\ đường dẫn. Nó cũng trích xuất hai tệp DLL độc hại, một cho hệ điều hành 64-bit và một cho hệ điều hành 32-bit. Sau đó, nó tạo một giá trị khóa được gọi là RTHDVCP hoặc RTHDVCPE trên đường dẫn đăng ký sau:HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.
Đường dẫn đăng ký này được sử dụng để tự động tồn tại, với điều kiện là nó sẽ tự động khởi động quá trình sau khi đăng nhập thành công. Do đó, các tệp DLL được tạo ra có một số khả năng cốt lõi bao gồm ghi khóa, liệt kê máy chủ, thu thập thông tin tình báo, lọc dữ liệu và lập hồ sơ máy chủ.
Thông tin thu thập được sau đó được sử dụng để tạo ra các cuộc tấn công phù hợp với hồ sơ của nạn nhân. Nếu KONNI lây nhiễm vào máy tính của các mục tiêu cao cấp, chẳng hạn như máy tính quân sự của Hàn Quốc hoặc một tổ chức tài chính, thì những người đứng sau nó có thể điều chỉnh các cuộc tấn công cụ thể, bao gồm cả tấn công gián điệp hoặc ransomware.
Cách loại bỏ Trojan KONNI
Giả sử máy tính của bạn đã bị nhiễm virus, bạn có biết phải làm gì với Trojan KONNI không?
Cách đơn giản nhất để xóa KONNI Trojan là sử dụng giải pháp chống phần mềm độc hại đáng tin cậy như Outbyte Antivirus . Để sử dụng phần mềm chống phần mềm độc hại, bạn phải chạy PC của mình ở Chế độ An toàn vì như đã lưu ý trước đó, KONNI sử dụng một số kỹ thuật tự động duy trì, bao gồm cả thao tác các mục tự khởi động để đưa vào chính nó.
Đối với người dùng Windows 10/11 và 7, sau đây là các bước cần thực hiện để vào Chế độ An toàn với Mạng.
- Mở Chạy bằng cách nhấn Windows + R trên bàn phím của bạn.
- Nhập msconfig và chạy lệnh.
- Đi tới Khởi động và chọn Khởi động an toàn và Mạng tùy chọn.
- Khởi động lại thiết bị của bạn.
Sau khi thiết bị của bạn khởi động lại, hãy khởi chạy phần mềm chống phần mềm độc hại và cho nó đủ thời gian để xóa vi-rút.
Nếu bạn không có phần mềm chống phần mềm độc hại, luôn có tùy chọn để theo dõi thủ công các tệp và thư mục lưu trữ vi rút. Cách để thực hiện việc này là mở Trình quản lý tác vụ bằng cách nhấn Ctrl, Alt và Xóa các phím trên bàn phím của bạn. Trên ứng dụng Trình quản lý tác vụ, đi tới Khởi động và tìm kiếm bất kỳ mục Khởi động đáng ngờ nào. Nhấp chuột phải vào chúng và chọn Mở vị trí tệp . Bây giờ, hãy chuyển đến vị trí tệp và xóa các tệp và thư mục bằng cách chuyển chúng vào Thùng rác. Bạn nên tìm thư mục sự kiện MFAData \\.
Điều khác mà bạn sẽ cần làm là sửa chữa các mục đăng ký bị hỏng và xóa những mục có liên quan đến phần mềm độc hại KONNI. Cách dễ nhất để làm điều này là triển khai PC Cleaner vì một trong những mục tiêu chính của công cụ sửa chữa PC là sửa chữa các mục đăng ký bị hỏng.
Một mục đích khác mà công cụ sửa chữa PC sẽ thực hiện là xóa mọi tệp rác, cookie, lịch sử duyệt web, tải xuống và hầu hết dữ liệu mà Trojan như KONNI gửi cho tội phạm mạng. Nói cách khác, việc sử dụng trình dọn dẹp PC sẽ không chỉ làm giảm nguy cơ tái nhiễm mà còn đảm bảo rằng ngay cả khi một phần mềm độc hại khác tìm thấy đường vào thiết bị của bạn, nó sẽ không có nhiều thứ để đánh cắp.
Nếu bạn đã làm theo các hướng dẫn ở trên, thì khả năng cao là bạn đã đối phó được với mối đe dọa phần mềm độc hại và điều duy nhất bây giờ còn lại là bảo vệ khỏi sự lây nhiễm trong tương lai.
Bạn phải biết rằng các thực thể phần mềm độc hại như KONNI chỉ lây nhiễm vào máy tính nếu nạn nhân bất cẩn với cách họ xử lý tệp đính kèm từ các nguồn không xác định. Nếu bạn có thể đề phòng thêm và không tải xuống bất kỳ tệp nào theo cách của bạn, thì bạn sẽ giảm đáng kể nguy cơ lây nhiễm.
Cuối cùng, bạn cần phải cập nhật máy tính thường xuyên nhất có thể. Các thực thể phần mềm độc hại như KONNI sử dụng các khai thác liên tục được vá bởi các nhà cung cấp phần mềm bao gồm cả Microsoft.