Была замечена новая фишинговая атака с использованием русскоязычного документа Microsoft Word для доставки вредоносного ПО, способного собирать конфиденциальную информацию со скомпрометированных хостов Windows.
Активность была приписана субъекту угрозы по имени Konni, который, по оценкам, имеет совпадения с северокорейским кластером, отслеживаемым как Kimsuky (он же APT43).
"Эта кампания основана на троянце удаленного доступа (RAT), способном извлекать информацию и выполнять команды на скомпрометированных устройствах", - сказала исследователь FortiGuard Labs Fortinet Кара Лин в анализе, опубликованном на этой неделе.
Группа кибершпионажа известна своей нацеленностью на Россию, при этом методы работы включают использование фишинговых электронных писем и вредоносных документов в качестве точек входа для своих атак.
Недавние атаки, задокументированные Knowsec и ThreatMon, использовали уязвимость WinRAR (CVE-2023-38831), а также запутанные скрипты Visual Basic для удаления Konni RAT и пакетный скрипт Windows, способный собирать данные с зараженных компьютеров.
"Основными целями Konni являются вывоз данных и проведение шпионской деятельности", - сказал ThreatMon. "Для достижения этих целей группа использует широкий спектр вредоносных программ и инструментов, часто адаптируя свою тактику, чтобы избежать обнаружения и присвоения".
Последняя последовательность атак, наблюдаемая Fortinet, включает в себя документ Word с макросами, который при включении отображает статью на русском языке, предположительно посвященную "Западным оценкам хода специальной военной операции".
Впоследствии макрос Visual Basic для приложений (VBA) запускает промежуточный пакетный скрипт, который выполняет системные проверки, обход контроля учетных записей пользователей (UAC) и, в конечном счете, прокладывает путь для развертывания DLL-файла, который включает в себя возможности сбора и эксфильтрации информации.
"Полезная нагрузка включает в себя обход UAC и зашифрованную связь с сервером C2, что позволяет субъекту угрозы выполнять привилегированные команды", - сказал Лин.
Konni - далеко не единственный участник северокорейской угрозы, выделяющий Россию. Доказательства, собранные Kaspersky, Microsoft и SentinelOne, показывают, что враждебная группа, известная как ScarCruft (она же APT37), также нацелена на торговые компании и фирмы по разработке ракет, расположенные в стране.
Раскрытие также появилось менее чем через две недели после того, как Solar, подразделение кибербезопасности российской государственной телекоммуникационной компании "Ростелеком", обнаружило, что злоумышленники из Азии, в первую очередь из Китая и Северной Кореи, совершили большинство атак на инфраструктуру страны.
"Северокорейская Lazarus group также очень активна на территории Российской Федерации", - заявили в компании. "По состоянию на начало ноября хакеры Lazarus по-прежнему имеют доступ к ряду российских систем".
Активность была приписана субъекту угрозы по имени Konni, который, по оценкам, имеет совпадения с северокорейским кластером, отслеживаемым как Kimsuky (он же APT43).
"Эта кампания основана на троянце удаленного доступа (RAT), способном извлекать информацию и выполнять команды на скомпрометированных устройствах", - сказала исследователь FortiGuard Labs Fortinet Кара Лин в анализе, опубликованном на этой неделе.
Группа кибершпионажа известна своей нацеленностью на Россию, при этом методы работы включают использование фишинговых электронных писем и вредоносных документов в качестве точек входа для своих атак.
Недавние атаки, задокументированные Knowsec и ThreatMon, использовали уязвимость WinRAR (CVE-2023-38831), а также запутанные скрипты Visual Basic для удаления Konni RAT и пакетный скрипт Windows, способный собирать данные с зараженных компьютеров.
"Основными целями Konni являются вывоз данных и проведение шпионской деятельности", - сказал ThreatMon. "Для достижения этих целей группа использует широкий спектр вредоносных программ и инструментов, часто адаптируя свою тактику, чтобы избежать обнаружения и присвоения".
Последняя последовательность атак, наблюдаемая Fortinet, включает в себя документ Word с макросами, который при включении отображает статью на русском языке, предположительно посвященную "Западным оценкам хода специальной военной операции".
Впоследствии макрос Visual Basic для приложений (VBA) запускает промежуточный пакетный скрипт, который выполняет системные проверки, обход контроля учетных записей пользователей (UAC) и, в конечном счете, прокладывает путь для развертывания DLL-файла, который включает в себя возможности сбора и эксфильтрации информации.
"Полезная нагрузка включает в себя обход UAC и зашифрованную связь с сервером C2, что позволяет субъекту угрозы выполнять привилегированные команды", - сказал Лин.
Konni - далеко не единственный участник северокорейской угрозы, выделяющий Россию. Доказательства, собранные Kaspersky, Microsoft и SentinelOne, показывают, что враждебная группа, известная как ScarCruft (она же APT37), также нацелена на торговые компании и фирмы по разработке ракет, расположенные в стране.
Раскрытие также появилось менее чем через две недели после того, как Solar, подразделение кибербезопасности российской государственной телекоммуникационной компании "Ростелеком", обнаружило, что злоумышленники из Азии, в первую очередь из Китая и Северной Кореи, совершили большинство атак на инфраструктуру страны.
"Северокорейская Lazarus group также очень активна на территории Российской Федерации", - заявили в компании. "По состоянию на начало ноября хакеры Lazarus по-прежнему имеют доступ к ряду российских систем".
