Установщик инструмента, который, вероятно, используется Российским консульским департаментом Министерства иностранных дел (MID), был взломан для доставки троянца удаленного доступа под названием Konni RAT (он же UpDog).
Выводы получены от немецкой компании по кибербезопасности DCSO, которая связала деятельность с Корейской Народно-Демократической Республикой (КНДР) -нексусными субъектами, нацеленными на Россию.
Кластер активности Konni (он же Opal Sleet, Osmium или TA406) имеет устоявшуюся схему развертывания Konni RAT против российских организаций, при этом субъект угрозы также связан с атаками, направленными против MID, по крайней мере, с октября 2021 года.
В ноябре 2023 года Fortinet FortiGuard Labs выявила использование русскоязычных документов Microsoft Word для доставки вредоносного ПО, способного собирать конфиденциальную информацию со скомпрометированных хостов Windows.
DCSO заявила, что упаковка Konni RAT в установщики программного обеспечения - это метод, ранее принятый группой в октябре 2023 года, когда было обнаружено, что для распространения трояна используется устаревшее российское программное обеспечение для подачи налоговых деклараций под названием Spravki BK.
"В данном случае резервный установщик, по-видимому, предназначен для инструмента под названием "Statistika KZU" (Cтатистика КЗУ)", - сказали в берлинской компании.
"На основе путей установки, метаданных файлов и руководств пользователя, включенных в программу установки, [...] программное обеспечение предназначено для внутреннего использования в Министерстве иностранных дел России (МИД), в частности, для передачи файлов ежегодных отчетов из зарубежных консульских учреждений (КЗУ - консульские загранучреждения— в Консульский отдел МИД по защищенному каналу".
Троянский установщик представляет собой файл MSI, который при запуске инициирует последовательность заражения для установления контакта с сервером командования и управления (C2) в ожидании дальнейших инструкций.
Троянец удаленного доступа, обладающий возможностями передачи файлов и выполнения команд, как полагают, был запущен в эксплуатацию еще в 2014 году, а также использовался другими северокорейскими злоумышленниками, известными как Кимсуки и СкарКруфт (он же APT37).
В настоящее время неясно, как злоумышленникам удалось заполучить установщик, учитывая, что он недоступен публично. Но есть подозрение, что долгая история шпионских операций, нацеленных на Россию, могла помочь им определить потенциальные инструменты для последующих атак.
Хотя нацеленность Северной Кореи на Россию не нова, ее развитие происходит на фоне растущей геополитической близости между двумя странами. Государственные СМИ Королевства-отшельника сообщили на этой неделе, что президент России Владимир Путин подарил лидеру Ким Чен Ыну роскошный автомобиль российского производства.
"В какой-то степени это не должно вызывать удивления; ожидается, что растущая стратегическая близость не сможет полностью заменить существующие потребности КНДР в сборе данных, поскольку со стороны КНДР сохраняется потребность в возможности оценивать и проверять планирование и цели российской внешней политики", - заявили в DCSO.
Выводы получены от немецкой компании по кибербезопасности DCSO, которая связала деятельность с Корейской Народно-Демократической Республикой (КНДР) -нексусными субъектами, нацеленными на Россию.
Кластер активности Konni (он же Opal Sleet, Osmium или TA406) имеет устоявшуюся схему развертывания Konni RAT против российских организаций, при этом субъект угрозы также связан с атаками, направленными против MID, по крайней мере, с октября 2021 года.
В ноябре 2023 года Fortinet FortiGuard Labs выявила использование русскоязычных документов Microsoft Word для доставки вредоносного ПО, способного собирать конфиденциальную информацию со скомпрометированных хостов Windows.
DCSO заявила, что упаковка Konni RAT в установщики программного обеспечения - это метод, ранее принятый группой в октябре 2023 года, когда было обнаружено, что для распространения трояна используется устаревшее российское программное обеспечение для подачи налоговых деклараций под названием Spravki BK.
"В данном случае резервный установщик, по-видимому, предназначен для инструмента под названием "Statistika KZU" (Cтатистика КЗУ)", - сказали в берлинской компании.
"На основе путей установки, метаданных файлов и руководств пользователя, включенных в программу установки, [...] программное обеспечение предназначено для внутреннего использования в Министерстве иностранных дел России (МИД), в частности, для передачи файлов ежегодных отчетов из зарубежных консульских учреждений (КЗУ - консульские загранучреждения— в Консульский отдел МИД по защищенному каналу".
Троянский установщик представляет собой файл MSI, который при запуске инициирует последовательность заражения для установления контакта с сервером командования и управления (C2) в ожидании дальнейших инструкций.
Троянец удаленного доступа, обладающий возможностями передачи файлов и выполнения команд, как полагают, был запущен в эксплуатацию еще в 2014 году, а также использовался другими северокорейскими злоумышленниками, известными как Кимсуки и СкарКруфт (он же APT37).
В настоящее время неясно, как злоумышленникам удалось заполучить установщик, учитывая, что он недоступен публично. Но есть подозрение, что долгая история шпионских операций, нацеленных на Россию, могла помочь им определить потенциальные инструменты для последующих атак.
Хотя нацеленность Северной Кореи на Россию не нова, ее развитие происходит на фоне растущей геополитической близости между двумя странами. Государственные СМИ Королевства-отшельника сообщили на этой неделе, что президент России Владимир Путин подарил лидеру Ким Чен Ыну роскошный автомобиль российского производства.
"В какой-то степени это не должно вызывать удивления; ожидается, что растущая стратегическая близость не сможет полностью заменить существующие потребности КНДР в сборе данных, поскольку со стороны КНДР сохраняется потребность в возможности оценивать и проверять планирование и цели российской внешней политики", - заявили в DCSO.
