Търсене
Close this search box.

Наблюдавана е нова фишинг атака, при която документ на Microsoft Word на руски език се използва за доставяне на зловреден софтуер, който може да събира чувствителна информация от компрометирани хостове с Windows.

Дейността се приписва на заплахата, наречена Konni, за която се смята, че има общи припокривания със севернокорейски клъстер, проследен като Kimsuky (известен още като APT43).

„Тази кампания разчита на троянски кон за отдалечен достъп (RAT), способен да извлича информация и да изпълнява команди на компрометирани устройства“, заяви изследователят от FortiGuard Labs на Fortinet Кара Лин в анализ, публикуван тази седмица.

Групата за кибершпионаж се отличава с това, че се насочва към Русия, като начинът на действие включва използването на имейли за копие-фишинг и злонамерени документи като входни точки за атаките.

При последните атаки, документирани от Knowsec и ThreatMon, е използвана уязвимостта WinRAR (CVE-2023-38831), както и замаскирани Visual Basic скриптове за пускане на Konni RAT и Windows Batch script, способен да събира данни от заразените машини.

„Основните цели на Konni включват ексфилтрация на данни и провеждане на шпионски дейности“, казват от ThreatMon. „За да постигне тези цели, групата използва широк набор от зловреден софтуер и инструменти, като често адаптира тактиката си, за да избегне откриване и приписване.“

Най-новата последователност на атаката, наблюдавана от Fortinet, включва документ на Word с макроси, който при активиране показва статия на руски език, за която се твърди, че е за „Западни оценки на напредъка на специалната военна операция“.

Впоследствие макросът на Visual Basic for Application (VBA) продължава да стартира междинен Batch скрипт, който извършва системни проверки, заобикаляне на User Account Control (UAC) и в крайна сметка проправя пътя за разгръщане на DLL файл, който включва възможности за събиране и ексфилтриране на информация.

„Полезният товар включва заобикаляне на UAC и криптирана комуникация със C2 сървър, което позволява на извършителя на заплахата да изпълнява привилегировани команди“, казва Лин.

Кони далеч не е единственият севернокорейски клъстер, който изтъква Русия. Доказателствата, събрани от Kaspersky, Microsoft и SentinelOne, показват, че противниковият колектив, наричан ScarCruft (известен още като APT37), също се е насочил към търговски компании и фирми за ракетно инженерство, разположени в страната.

Разкритието идва и по-малко от две седмици след като Solar, звеното за киберсигурност на руската държавна телекомуникационна компания Rostelecom, разкри, че заплахите от Азия – предимно тези от Китай и Северна Корея – представляват по-голямата част от атаките срещу инфраструктурата на страната.

„Севернокорейската група Lazarus е много активна и на територията на Руската федерация“, заявиха от компанията. „От началото на ноември хакерите на Lazarus все още имат достъп до редица руски системи.“

 

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
Бъдете социални
Още по темата
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
12/12/2024

Изследователи разбиват Micr...

Изследователи разбиха метод за многофакторно удостоверяване...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!