Търсене
Close this search box.

Konni използва рускоезични злонамерени документи на Word при последните си атаки

Наблюдавана е нова фишинг атака, при която документ на Microsoft Word на руски език се използва за доставяне на зловреден софтуер, който може да събира чувствителна информация от компрометирани хостове с Windows.

Дейността се приписва на заплахата, наречена Konni, за която се смята, че има общи припокривания със севернокорейски клъстер, проследен като Kimsuky (известен още като APT43).

„Тази кампания разчита на троянски кон за отдалечен достъп (RAT), способен да извлича информация и да изпълнява команди на компрометирани устройства“, заяви изследователят от FortiGuard Labs на Fortinet Кара Лин в анализ, публикуван тази седмица.

Групата за кибершпионаж се отличава с това, че се насочва към Русия, като начинът на действие включва използването на имейли за копие-фишинг и злонамерени документи като входни точки за атаките.

При последните атаки, документирани от Knowsec и ThreatMon, е използвана уязвимостта WinRAR (CVE-2023-38831), както и замаскирани Visual Basic скриптове за пускане на Konni RAT и Windows Batch script, способен да събира данни от заразените машини.

„Основните цели на Konni включват ексфилтрация на данни и провеждане на шпионски дейности“, казват от ThreatMon. „За да постигне тези цели, групата използва широк набор от зловреден софтуер и инструменти, като често адаптира тактиката си, за да избегне откриване и приписване.“

Най-новата последователност на атаката, наблюдавана от Fortinet, включва документ на Word с макроси, който при активиране показва статия на руски език, за която се твърди, че е за „Западни оценки на напредъка на специалната военна операция“.

Впоследствие макросът на Visual Basic for Application (VBA) продължава да стартира междинен Batch скрипт, който извършва системни проверки, заобикаляне на User Account Control (UAC) и в крайна сметка проправя пътя за разгръщане на DLL файл, който включва възможности за събиране и ексфилтриране на информация.

„Полезният товар включва заобикаляне на UAC и криптирана комуникация със C2 сървър, което позволява на извършителя на заплахата да изпълнява привилегировани команди“, казва Лин.

Кони далеч не е единственият севернокорейски клъстер, който изтъква Русия. Доказателствата, събрани от Kaspersky, Microsoft и SentinelOne, показват, че противниковият колектив, наричан ScarCruft (известен още като APT37), също се е насочил към търговски компании и фирми за ракетно инженерство, разположени в страната.

Разкритието идва и по-малко от две седмици след като Solar, звеното за киберсигурност на руската държавна телекомуникационна компания Rostelecom, разкри, че заплахите от Азия – предимно тези от Китай и Северна Корея – представляват по-голямата част от атаките срещу инфраструктурата на страната.

„Севернокорейската група Lazarus е много активна и на територията на Руската федерация“, заявиха от компанията. „От началото на ноември хакерите на Lazarus все още имат достъп до редица руски системи.“

 

Източник: The Hacker News

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
Бъдете социални
Още по темата
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Бандата "Медуза" нанася нов...

Въпреки че общинската агенция уверява обществеността,...
19/04/2024

Пробиха MITRE чрез нулевите...

Корпорацията MITRE твърди, че подкрепяна от...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!