近日，有安全研究人员表示，由于最近两个网络间谍活动中使用的钓鱼邮件都很明显地针对朝鲜相关实体，这说明，DarkHotel攻击和这款名为“KONNI”的恶意软件之间存在一定的联系。

KONNI恶意软件

KONNI是一个存活了3年的远程访问木马（RAT），该恶意软件在过去几年已经得到了进一步发展完善，目前，最新版本的KONNI能够记录击键信息、窃取文件、捕获屏幕截图、收集受感染设备的信息并在受感染系统上执行任意代码。

思科团队发现多年来KONNI发动了多起攻击活动。第一起攻击可能发动于2014年9月份，在这次攻击中，KONNI被设计为仅执行一次并从受感染设备中窃取信息，包括按键、剪贴板内容和跟Chrome、火狐和Opera网络浏览器相关的数据。

第二次攻击发生在去年，也涉及一个SRC文件，不过这次它释放的是两个分别用英语和俄语写成的Office文档，内容是朝鲜跟美国之间的紧张关系，题目是“朝鲜氢弹能清除曼哈顿：宣传喉舌”。这次攻击利用的是架构不同的恶意软件，能让攻击者上传并下载文件以及执行任意命令。

而在今年，研究人员已经发现了两起KONNI攻击活动。其中一个诱骗文档题目为“平壤电子邮件列表——2017年4月”，它包含在跟朝鲜相关的组织机构如联合国、联合国教科文组织和大使馆工作的多名人员的邮件地址和电话号码。另外一个诱骗文档名称为“内部机构列表和电话本——2017年4月”，里面包含的是在跟朝鲜相关的机构、大使馆和其它公共组织机构中工作的人员姓名和联系信息。

DarkHotel间谍组织

Cylance公司研究人员注意到，其中这个名为“平壤电子邮件列表——2017年4月”的钓鱼文件，与Bitdefender公司研究人员发现的DarkHotel组织在最近的网络攻击活动中所使用的文件非常相似。

Darkhotel 是一个存在了近十年的间谍组织，于2014年11月首次被卡巴斯基公司在一份报告中曝光。该组织最初主要针对亚太地区商务旅游的公司高管，包括来自朝鲜、日本、俄罗斯、孟加拉国、泰国、台湾、中国、美国、印度、莫桑比克、印度尼西亚以及泰国的首席执行官、高级副总裁、顶尖研发工程师、销售和营销主管等。研究发现，该组织成员可能来自韩国。

在最近的网络攻击活动中，Bitdefender公司的研究人员发现了这一新的“DarkHotel2.0”组织，他们开始使用一种称为“Inexsmar”的攻击手段，对政治人物进行了针对性入侵。这种攻击使用新的有效载荷传递机制而非完整的 0-day 开发技术，并以社会工程学与相对复杂的木马混合感染其选定的受害者群体。

关联分析

而在此次攻击中所使用的钓鱼文件与KONNI攻击中使用的文件非常相似，只是其标题为“平壤电子邮件列表——2016年9月”，除标题存在细微差别外，文件的内容和格式完全相同。

通过进一步分析描述文件发现，它们都被命名为“平壤目录”，且他们都是由一个名为“Divya Jacob”的人创作的。

目前，Cylance已经针对KONNI恶意软件进行了详细地分析，该公司的安全专家认为，由于最近安全公司和媒体的广泛关注，该恶意软件的开发者很可能将发布新的变体，包括更好的混淆和附加功能，还望相关人员提高警惕，做好防护工作。