KONNI不按套路出牌，使用新方式针对俄罗斯方向持续展开攻击

bat 的功能为反转判断 a.log 文档是否是存在，如果存在的话也就是比如说的 expand 指令取得成功督导，则撤下 a.log 文档，并督导 install.bat，先前撤下自身。

@echo off

cd /d %TEMP%

:WAITING

timeout /t 1

if not exist "a.log" (goto WAITING)

del /f /q "a.log"

install.bat

del /f /q "%~dpnx0"

上图[8] 转换成并督导temp.bat

先前调用 expand 指令，将流媒体的压缩纸制解码，撤下压缩纸制，输出 echo OK 到 a.log 文档，压缩后的文档将由上面的 bat 文档督导。

上图[9] 调用expand下达解码流媒体的文档纸制

3.2 潜入 PDF 移动设备的试样

与上述试样相近，偷袭者向最终目标投递 PDF 移动设备处置程序，实际为 SFX 自解码可督导文档，纸制文档纸制含移动设备处置程序 foxit.exe 和水瓶计算机控制系统 foxit.dll。

上图[10] 潜入为PDF移动设备的SFX自解码可督导文档

都只常用 dll 扣押的研究方法调用水瓶 foxit.dll，exe 为福昕移动设备（foxit）涉及计算机控制系统。

上图[11] 捆绑的但会PDF移动设备处置程序

水瓶计算机控制系统与上述试样流程基本一致，都只从应用程序流媒体督导下先决条件欺诈有效载荷。

URL：online-manual.c1.biz/index.php?user_id=765Maxtype=%d

上图[12] 从应用程序流媒体欺诈有效载荷并调用 expand 下达解码

4 关联研究 KONNI APT 秘密组织长期针对哈萨克斯坦路径涉及机构顺利进行定向偷袭大型活动，在过往偷袭大型活动之中经常常用暗处聪PDF顺利进行偷袭，而在本次偷袭大型活动之中，可以看到该秘密组织常用 dll 扣押的研究方法试上图向最终目标投递暗处PDF。

与过往偷袭大型活动相近的是，水瓶依然会从应用程序流媒体压缩纸制文档，并常用 expand 指令顺利进行解码，以督导原先欺诈有效载荷。

上图[13] 过往偷袭大型活动之中常用的expand下达

上图[14] 本次偷袭大型活动之中常用的expand下达

以及常用都只的 URL 指令格固定式，偷袭者疑似常用 user_id 标记最终目标编号，且通常根据最终目标操作控制系统分别流媒体完全一致版本水瓶。

上图[15] 过往偷袭大型活动之中常用的URL格固定式

上图[16] 本次偷袭大型活动之中常用的URL格固定式

5 结论 哈萨克斯坦路径涉及社团长期以来是 KONNI 秘密组织的长期偷袭最终目标之一，在过往偷袭大型活动之中，该秘密组织经常常用暗处聪PDF顺利进行鱼叉钓偷袭，而在本次偷袭大型活动之中，偷袭者仍然常用聪PDF，而是将水瓶与但会处置程序打纸制在独自顺利进行dll扣押偷袭，微步机密局会对涉及偷袭大型活动持续顺利进行跟踪，及时发现安全及冲击并短时间内鼓动处置。

。

高血压
安必丁能长期服用吗
治疗宫颈癌需要多少钱
小孩子积食的症状有哪些
子宫内膜薄有什么症状