Apa itu Trojan KONNI? (08.15.25)

KONNI adalah Remote Access Trojan (RAT) yang sangat terkait dengan badan intelijen Korea Utara. Peneliti keamanan siber dapat menghubungkannya karena setelah uji coba rudal balistik antarbenua 2017 yang sukses oleh Korea Utara, ada lonjakan kampanye spear phishing yang merujuk pada kemampuan yang diperoleh Korea Utara. Kampanye serupa KONNI terjadi pada tahun 2014 dan mereka juga mengarah pada kesimpulan bahwa KONNI adalah senjata spionase yang dibuat untuk siapa saja yang tertarik dengan urusan Korea Utara, terutama program nuklir dan rudal balistiknya. Meskipun tidak jelas apa tujuan dari malware tersebut, orang dapat menyimpulkan bahwa ini sebagian besar tentang membuat profil komputer korban yang terinfeksi untuk mengidentifikasi target serangan yang lebih berkelanjutan. Sebagian besar target KONNI berbasis di kawasan Asia Pasifik.

Apa yang Dilakukan Trojan KONNI?

Malware KONNI menginfeksi komputer terutama melalui dokumen Word yang terkontaminasi yang menjangkau sebagian besar korbannya sebagai lampiran email.

Saat korban mengunduh file, malware dimuat di latar belakang tempat ia mengeksekusi muatannya. KONNI kemudian memulai tujuan utamanya yaitu pengintaian dan pengumpulan informasi. Ini membuat profil jaringan komputer organisasi, menangkap tangkapan layar, mencuri kata sandi, riwayat penelusuran web, dan umumnya mencari informasi apa pun yang dapat diperolehnya. Informasi tersebut kemudian dikirim ke pusat perintah dan kontrol.

Malware dapat melakukan ini dengan membuat direktori Windows di bawah folder pengaturan lokal pengguna saat ini dengan jalur MFAData\\event. Itu juga mengekstrak dua file DLL berbahaya, satu untuk OS 64-bit dan satu lagi untuk OS 32-bit. Setelah ini, ini menciptakan nilai kunci yang disebut RTHDVCP atau RTHDVCPE di jalur registri berikut: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run.

Jalur registri ini digunakan untuk persistensi otomatis, mengingat jalur tersebut akan memulai proses secara otomatis setelah login berhasil. File DLL yang dibuat memiliki beberapa kemampuan inti yang mencakup keylogging, enumerasi host, pengumpulan intelijen, eksfiltrasi data, dan profil host.

Informasi yang dikumpulkan kemudian digunakan untuk membuat serangan yang sesuai dengan profil korban. Jika KONNI menginfeksi komputer target profil tinggi seperti komputer militer Korea Selatan atau lembaga keuangan, orang di baliknya dapat menyesuaikan serangan tertentu termasuk serangan spionase atau ransomware.

Cara Menghapus Trojan KONNI

Seandainya komputer Anda telah terinfeksi, tahukah Anda apa yang harus dilakukan dengan Trojan KONNI?

Cara paling sederhana untuk menghapus Trojan KONNI adalah dengan menggunakan solusi antimalware yang andal seperti Outbyte Antivirus. Untuk menggunakan anti-malware, Anda harus menjalankan PC pada Safe Mode karena seperti yang disebutkan sebelumnya, KONNI menggunakan beberapa teknik persistensi otomatis, termasuk memanipulasi item autostart untuk menyertakan dirinya sendiri.

Untuk Windows 10 dan 7 pengguna, berikut adalah langkah-langkah yang harus dilakukan untuk masuk ke Safe Mode with Networking.

  • Buka utilitas Run dengan menekan tombol Windows + R pada keyboard Anda.
  • Ketik msconfig dan jalankan perintah.
  • Buka tab Boot dan pilih Boot aman dan Opsi Jaringan.
  • Mulai ulang perangkat Anda.

    • Setelah perangkat dimulai ulang, luncurkan anti-malware dan berikan waktu yang cukup untuk menghapus virus.

    Jika Anda tidak memiliki anti-malware, selalu ada opsi untuk melacak file dan folder yang menjadi host virus secara manual. Cara melakukannya adalah dengan membuka Pengelola Tugas dengan menekan tombol Ctrl, Alt dan Hapus di keyboard Anda. Pada aplikasi Task Manager, buka tab Startup dan cari item Startup yang mencurigakan. Klik kanan pada mereka dan pilih Buka lokasi file. Sekarang, pergi ke lokasi file dan hapus file dan folder dengan memindahkannya ke Recycle Bin. Anda harus mencari folder MFAData\\event.

    Hal lain yang perlu Anda lakukan adalah memperbaiki entri registri yang rusak dan menghapus entri yang terkait dengan malware KONNI. Cara termudah untuk melakukannya adalah dengan menggunakan Pembersih PC karena salah satu tujuan utama alat perbaikan PC adalah untuk memperbaiki entri registri yang rusak.

    Tujuan lain yang akan dimainkan oleh alat perbaikan PC adalah untuk menghapus file sampah, cookie, riwayat penelusuran, unduhan, dan sebagian besar data yang dikirim Trojan seperti KONNI ke penjahat dunia maya. Dengan kata lain, menggunakan pembersih PC tidak hanya akan mengurangi risiko infeksi ulang tetapi juga akan memastikan bahwa meskipun malware lain berhasil masuk ke perangkat Anda, malware tersebut tidak akan banyak mencuri.

    Jika Anda mengikuti petunjuk di atas, kemungkinan besar Anda akan menghadapi ancaman malware dan satu-satunya hal yang tersisa sekarang adalah melindungi dari infeksi di masa mendatang.

    Anda harus mengetahui malware itu entitas seperti KONNI hanya menginfeksi komputer jika korban ceroboh dengan cara mereka menangani lampiran dari img yang tidak dikenal. Jika Anda dapat mengambil tindakan pencegahan ekstra dan tidak mengunduh file apa pun yang datang kepada Anda, maka Anda akan sangat mengurangi risiko infeksi.

    Terakhir, Anda perlu memperbarui komputer Anda sesering mungkin. Entitas malware seperti KONNI menggunakan eksploitasi yang terus-menerus ditambal oleh vendor perangkat lunak termasuk Microsoft.

    Video Youtube: Apa itu Trojan KONNI?

    08, 2025