یک گروه تهدید وابسته به کرۀ شمالی با نامهای مختلف (Konni، Earth Imp، Opal Sleet، Osmium، TA406، Vedalia) مسئول یک موج جدید حملات شناخته شده که هم دستگاههای Android و هم Windows را هدف میگیرد. نکتهٔ برجسته این حملات، سوءاستفاده از سرویس مدیریت داراییهای گوگل Find Hub (نام قبلی: Find My Device) است تا بهصورت راهدور دستگاه قربانی را ریست کرده و دادههای شخصی او را پاک کند.
شگرد اولیه — فیشینگ، پخش از طریق پیامرسان و نفوذ طولانیمدت
مهاجمین ابتدا از ایمیلهای هدفگیریشده (spear-phishing) استفاده میکنند که خود را بهعنوان مشاوران روانشناسی یا فعالان حقوق بشر کرۀ شمالی جا میزنند و کاربران را فریب میدهند تا فایلهای ضمیمهٔ مخرب را باز کنند. در نمونههایی، فایل مخرب بهصورت آرشیو ZIP از طریق نشستهای لاگینشده در KakaoTalk بین مخاطبان انتشار یافته است.
فایل ZIP شامل یک بستهٔ MSI مخرب با نام مثالاً "Stress Clear.msi" است که با امضای یک شرکت چینی معتبر نشانهٔ مشروعیت میگیرد. پس از اجرا، MSI یک batch و سپس یک VBScript را اجرا میکند که خطای جعلی نمایش میدهد و در پسزمینه با اجرای AutoIt و ایجاد Scheduled Task بهصورت هر دقیقه، یک اسکریپت بدافزاری را اجرا میکند. این بدافزار که بهعنوان EndRAT (برخی محققان آن را EndClient RAT نامیدهاند) شناخته شده، قابلیتهای ریموتشل، آپلود/دانلود فایل، حذف و اجرای فرمان را دارد.
استفاده از حسابهای گوگل برای پاکسازی راهدور
یکی از اجزای کلیدی حمله سرقت اعتبارنامههای Google قربانی است. مهاجمین با استفاده از اعتبارنامهٔ دزدیدهشده وارد Find Hub میشوند و از قابلیت مدیریت دستگاه برای اجرای remote wipe / factory reset استفاده میکنند — عملی که منجر به حذف غیرمجاز دادههای شخصی کاربر میشود. در یک مورد گزارششده، مهاجم حتی وارد حساب بازیابی ایمیلِ ثبتشده در Naver شده، ایمیلهای هشدار امنیتی گوگل را پاک کرده و سطل زبالهٔ اینباکس را خالی کرده تا ردپای خود را محو کند.
مجموعهٔ ابزارهای دیدهشده
در ماشینهای آلوده علاوه بر EndRAT، نمونههایی از ابزارهای دیگر هم دیده شدهاند:
Lilith RAT-مانند عملکرد (اما EndRAT متمایز)
Remcos RAT v7.0.4 (مهاجم از نسخهٔ جدید منتشرشده در 10 سپتامبر 2025 استفاده کرده)
Quasar RAT و RftRAT (که قبلاً توسط Kimsuky استفاده شده بودند)
دستورات پشتیبانیشده در EndRAT شامل: shellStart, shellStop, refresh, list, goUp, download, upload, run, delete است — یعنی کنترل کامل فایلسیستم و اجرای کد از راه دور.
پیامدها و ویژگی عملیات
Genians Security Center گزارش داده که در یک مورد، مهاجم بیش از یک سال در شبکهٔ قربانی مخفی مانده، با وبکم جاسوسی کرده و در غیاب کاربر سیستم را کنترل کرده است. این نشان میدهد حمله ترکیبی از دسترسی اولیه از طریق فیشینگ و ماندن بلندمدت (persistence) با تاکتیکهای فرار از شناسایی است. همچنین بهرهبرداری از قابلیت مشروع Find Hub نمونهای از weaponization توابع مدیریتی قانونی برای مقاصد مخرب است — روندی که برای اولین بار در این گروه مشاهده میشود.
🛡 توصیههای فنی و عملیاتی فوری Vulnerbyte
فوراً اعتبارنامهها را ریست/rotate کنید — خصوصاً حسابهای Google و Naver مرتبط با کارکنان یا کاربران مشکوک.
تأیید هویت چندمرحلهای (MFA) را برای حسابهای گوگل و سایر سرویسهای حساس اجباری کنید.
بررسی نشستهای لاگین فعال در سرویسهای پیامرسان (مثل KakaoTalk) و کنترل انتشار فایلها از طریق نشستهای لاگینشده.
محدودسازی دسترسی Find Hub: اگر سازمانی از مدیریت دستگاههای مشتری استفاده میکند، بررسی کنید چه حسابهایی دسترسی به مدیریت دستگاه دارند؛ دسترسی مدیریتی را محدود کنید.
ابزار های ضد بدافزار و EDR را برای شناسایی MSI/VBScript/AutoIt و Scheduled Taskهای مشکوک پیکربندی کنید. قوانین جهت شناسایی فایلهای MSI امضاشده اما رفتار مشکوک روشن بنویسید.
نظارت بر ایمیلهای هشدار امنیتی (سطل زباله، حذف اعلانها) و فعالسازی لاگینگ برای تغییرات در تنظیمات بازیابی ایمیل.
آگاهسازی کاربران دربارهٔ دامهای فیشینگ با ادعای مددکاری یا فعالان حقوق بشر و هشدار به باز نکردن فایلهای ضمیمهٔ ناشناس.
📝 خلاصهٔ مدیریتی برای مدیران IT
گزارشهای اخیر نشان میدهند گروه Konni با ادعاهای فریبنده (مثلاً رواندرمانی یا فعالان حقوق بشر) کاربران را طعمهٔ فیشینگ قرار داده و با نصب MSI/VBScript و اجرای AutoIt، کنترل سیستمهای ویندوز و اندروید را بهدست میآورند؛ سپس با سرقت اعتبارنامههای Google وارد سرویس Find Hub شده و دستور remote wipe اجرا میکنند. توصیهٔ مدیریتی: فوراً حسابهای Google/Naver مرتبط را ریست و MFA را فعال کنید، نصب افزونه/نرمافزار از منابع ناشناخته را ممنوع کنید، EDR/AV را برای تشخیص MSI/VBScript و Scheduled Taskهای مشکوک بهروزرسانی کنید و کاربران را دربارهٔ پویشهای فیشینگ هدفمند آموزش دهید.
