KONNI เป็นโทรจันการเข้าถึงระยะไกล (RAT) ที่มีความเกี่ยวข้องอย่างยิ่งกับหน่วยงานข่าวกรองของเกาหลีเหนือ นักวิจัยด้านความปลอดภัยทางไซเบอร์สามารถเชื่อมต่อได้เนื่องจากหลังจากการทดสอบขีปนาวุธข้ามทวีปที่ประสบความสำเร็จในปี 2560 โดยเกาหลีเหนือ มีแคมเปญฟิชชิ่งหอกที่อ้างถึงความสามารถที่ได้รับของเกาหลีเหนือเพิ่มขึ้นอย่างรวดเร็ว แคมเปญที่คล้ายกันของ KONNI เกิดขึ้นในปี 2014 และพวกเขาก็นำไปสู่ข้อสรุปเช่นกันว่า KONNI เป็นอาวุธจารกรรมที่สร้างขึ้นสำหรับทุกคนที่สนใจกิจการของเกาหลีเหนือ โดยเฉพาะโครงการนิวเคลียร์และขีปนาวุธ แม้ว่าจะยังไม่ชัดเจนว่าเป้าหมายของมัลแวร์คืออะไร แต่ก็สามารถสรุปได้ว่าส่วนใหญ่เกี่ยวกับการทำโปรไฟล์คอมพิวเตอร์ของเหยื่อที่ติดเชื้อ เพื่อระบุเป้าหมายสำหรับการโจมตีที่ยั่งยืนมากขึ้น เป้าหมายส่วนใหญ่ของ KONNI อยู่ในภูมิภาคเอเชียแปซิฟิก
โทรจัน KONNI ทำอะไรได้บ้าง
มัลแวร์ KONNI ส่วนใหญ่ติดคอมพิวเตอร์ผ่านเอกสาร Word ที่ปนเปื้อนซึ่งเข้าถึงเหยื่อส่วนใหญ่ในรูปแบบไฟล์แนบอีเมล
ในขณะที่ผู้ที่ตกเป็นเหยื่อกำลังดาวน์โหลดไฟล์ มัลแวร์จะถูกโหลดในพื้นหลังที่รันเพย์โหลดของมัน จากนั้น KONNI ก็เริ่มเป้าหมายหลักของการลาดตระเวนและการรวบรวมข้อมูล มันสร้างโปรไฟล์เครือข่ายคอมพิวเตอร์ขององค์กร จับภาพหน้าจอ ขโมยรหัสผ่าน ประวัติการท่องเว็บ และโดยทั่วไปจะค้นหาข้อมูลใด ๆ ที่สามารถเข้าถึงได้ ข้อมูลจะถูกส่งไปยังศูนย์บัญชาการและควบคุม
มัลแวร์สามารถทำได้โดยการสร้างไดเร็กทอรี Windows ภายใต้โฟลเดอร์การตั้งค่าภายในเครื่องของผู้ใช้ปัจจุบันด้วยเส้นทาง MFAData\\event นอกจากนี้ยังแยกไฟล์ DLL ที่เป็นอันตรายสองไฟล์ ไฟล์หนึ่งสำหรับระบบปฏิบัติการ 64 บิต และอีกไฟล์สำหรับระบบปฏิบัติการ 32 บิต ต่อจากนี้ จะสร้างค่าคีย์ที่เรียกว่า RTHDVCP หรือ RTHDVCPE บนเส้นทางรีจิสทรีต่อไปนี้:HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
เส้นทางรีจิสทรีนี้ใช้สำหรับการคงอยู่อัตโนมัติ เนื่องจากจะเริ่มกระบวนการโดยอัตโนมัติหลังจากเข้าสู่ระบบสำเร็จ ไฟล์ DLL ที่สร้างขึ้นจึงมีความสามารถหลักหลายประการ ซึ่งรวมถึงการบันทึกคีย์ การแจงนับโฮสต์ การรวบรวมข่าวกรอง การกรองข้อมูล และการทำโปรไฟล์โฮสต์
ข้อมูลที่รวบรวมไว้จะนำไปใช้เพื่อสร้างการโจมตีที่เหมาะสมกับโปรไฟล์ของเหยื่อ หาก KONNI แพร่ระบาดในคอมพิวเตอร์ที่มีเป้าหมายสูงส่ง เช่น คอมพิวเตอร์ทางการทหารของเกาหลีใต้หรือสถาบันการเงิน ผู้อยู่เบื้องหลังอาจปรับแต่งการโจมตีเฉพาะ รวมถึงการจารกรรมหรือการโจมตีด้วยแรนซัมแวร์
วิธีการลบ KONNI โทรจัน
สมมติว่าคอมพิวเตอร์ของคุณติดไวรัส คุณทราบหรือไม่ว่าต้องทำอย่างไรกับโทรจัน KONNI
วิธีที่ง่ายที่สุดในการลบ KONNI Trojan คือการใช้โซลูชันป้องกันมัลแวร์ที่เชื่อถือได้ เช่น Outbyte Antivirus . ในการใช้โปรแกรมป้องกันมัลแวร์ คุณต้องเปิดพีซีของคุณในเซฟโหมด เพราะดังที่ได้กล่าวไว้ก่อนหน้านี้ KONNI ใช้เทคนิคการคงอยู่อัตโนมัติบางอย่าง รวมถึงการจัดการรายการเริ่มอัตโนมัติเพื่อรวมตัวเองด้วย
สำหรับผู้ใช้ Windows 10/11 และ 7 ทำตามขั้นตอนต่อไปนี้เพื่อเข้าสู่ Safe Mode with Networking
- เปิด เรียกใช้ ยูทิลิตี้โดยการกด Windows + R ปุ่มบนแป้นพิมพ์ของคุณ
- พิมพ์ msconfig และรันคำสั่ง
- ไปที่ บูต และเลือก Safe Boot และ เครือข่าย ตัวเลือก
- รีสตาร์ทอุปกรณ์ของคุณ
เมื่ออุปกรณ์ของคุณรีสตาร์ท ให้เปิดโปรแกรมป้องกันมัลแวร์และให้เวลาเพียงพอในการลบไวรัส
หากคุณไม่มีโปรแกรมป้องกันมัลแวร์ จะมีตัวเลือกในการติดตามไฟล์และโฟลเดอร์ที่โฮสต์ไวรัสด้วยตนเองอยู่เสมอ วิธีการคือเปิด ตัวจัดการงาน โดยกด Ctrl, Alt และ ลบ ปุ่มบนแป้นพิมพ์ของคุณ ในแอป Task Manager ให้ไปที่ Startup แท็บและมองหารายการเริ่มต้นที่น่าสงสัย คลิกขวาที่ไฟล์และเลือก เปิดตำแหน่งไฟล์ . ไปที่ตำแหน่งไฟล์และลบไฟล์และโฟลเดอร์โดยย้ายไปยังถังรีไซเคิล คุณควรมองหาโฟลเดอร์ MFAData\\event
อีกสิ่งที่คุณต้องทำคือซ่อมแซมรายการรีจิสตรีที่เสียหายและลบรายการที่เกี่ยวข้องกับมัลแวร์ KONNI วิธีที่ง่ายที่สุดในการทำเช่นนี้คือการปรับใช้ PC Cleaner เนื่องจากหนึ่งในเป้าหมายหลักของเครื่องมือซ่อมแซมพีซีคือการซ่อมแซมรายการรีจิสตรีที่เสียหาย
อีกวัตถุประสงค์หนึ่งที่เครื่องมือซ่อมแซมพีซีจะเล่นก็คือการลบไฟล์ขยะ คุกกี้ ประวัติการเรียกดู ดาวน์โหลด และข้อมูลส่วนใหญ่ที่โทรจัน เช่น KONNI ส่งไปยังอาชญากรไซเบอร์ กล่าวอีกนัยหนึ่ง การใช้ตัวล้างพีซีจะไม่เพียงลดความเสี่ยงของการติดเชื้อซ้ำ แต่ยังช่วยให้แน่ใจว่าแม้ว่ามัลแวร์ตัวอื่นจะเข้ามายังอุปกรณ์ของคุณ แต่ก็ไม่ต้องขโมยอะไรมาก
หากคุณปฏิบัติตามคำแนะนำข้างต้น มีโอกาสสูงที่คุณจะจัดการกับภัยคุกคามจากมัลแวร์ได้อย่างเต็มที่ และสิ่งเดียวที่เหลือในตอนนี้คือการป้องกันการติดไวรัสในอนาคต
คุณต้องรู้ว่ามัลแวร์ เช่น KONNI จะแพร่ระบาดในคอมพิวเตอร์เท่านั้น หากเหยื่อไม่สนใจวิธีจัดการกับไฟล์แนบจากแหล่งที่ไม่รู้จัก หากคุณสามารถใช้ความระมัดระวังเป็นพิเศษและไม่ดาวน์โหลดไฟล์ใด ๆ ที่เข้ามา คุณจะลดความเสี่ยงของการติดไวรัสได้อย่างมาก
สุดท้ายนี้ คุณต้องปรับปรุงคอมพิวเตอร์ให้บ่อยที่สุดเท่าที่จะทำได้ เอนทิตีมัลแวร์ เช่น KONNI ใช้ช่องโหว่ที่ได้รับการติดตั้งโดยผู้จำหน่ายซอฟต์แวร์รวมถึง Microsoft อย่างต่อเนื่อง