Наблюдавана е нова фишинг атака, при която документ на Microsoft Word на руски език се използва за доставяне на зловреден софтуер, който може да събира чувствителна информация от компрометирани хостове с Windows.
Дейността се приписва на заплахата, наречена Konni, за която се смята, че има общи припокривания със севернокорейски клъстер, проследен като Kimsuky (известен още като APT43).
„Тази кампания разчита на троянски кон за отдалечен достъп (RAT), способен да извлича информация и да изпълнява команди на компрометирани устройства“, заяви изследователят от FortiGuard Labs на Fortinet Кара Лин в анализ, публикуван тази седмица.
Групата за кибершпионаж се отличава с това, че се насочва към Русия, като начинът на действие включва използването на имейли за копие-фишинг и злонамерени документи като входни точки за атаките.
При последните атаки, документирани от Knowsec и ThreatMon, е използвана уязвимостта WinRAR (CVE-2023-38831), както и замаскирани Visual Basic скриптове за пускане на Konni RAT и Windows Batch script, способен да събира данни от заразените машини.
„Основните цели на Konni включват ексфилтрация на данни и провеждане на шпионски дейности“, казват от ThreatMon. „За да постигне тези цели, групата използва широк набор от зловреден софтуер и инструменти, като често адаптира тактиката си, за да избегне откриване и приписване.“
Най-новата последователност на атаката, наблюдавана от Fortinet, включва документ на Word с макроси, който при активиране показва статия на руски език, за която се твърди, че е за „Западни оценки на напредъка на специалната военна операция“.
Впоследствие макросът на Visual Basic for Application (VBA) продължава да стартира междинен Batch скрипт, който извършва системни проверки, заобикаляне на User Account Control (UAC) и в крайна сметка проправя пътя за разгръщане на DLL файл, който включва възможности за събиране и ексфилтриране на информация.
„Полезният товар включва заобикаляне на UAC и криптирана комуникация със C2 сървър, което позволява на извършителя на заплахата да изпълнява привилегировани команди“, казва Лин.
Кони далеч не е единственият севернокорейски клъстер, който изтъква Русия. Доказателствата, събрани от Kaspersky, Microsoft и SentinelOne, показват, че противниковият колектив, наричан ScarCruft (известен още като APT37), също се е насочил към търговски компании и фирми за ракетно инженерство, разположени в страната.
Разкритието идва и по-малко от две седмици след като Solar, звеното за киберсигурност на руската държавна телекомуникационна компания Rostelecom, разкри, че заплахите от Азия – предимно тези от Китай и Северна Корея – представляват по-голямата част от атаките срещу инфраструктурата на страната.
„Севернокорейската група Lazarus е много активна и на територията на Руската федерация“, заявиха от компанията. „От началото на ноември хакерите на Lazarus все още имат достъп до редица руски системи.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.