Konni Group, Son Saldırılarda Rusça Kötü Amaçlı Word Belgelerini Kullanıyor
Güvenliği ihlal edilmiş Windows ana bilgisayarlarından hassas bilgileri toplayabilen kötü amaçlı yazılım göndermek için Rusça bir Microsoft Word belgesinden yararlanan yeni bir kimlik avı saldırısı gözlemlendi.
Etkinlik, Kimsuky (diğer adıyla APT43) olarak izlenen bir Kuzey Kore kümesiyle örtüşme paylaştığı değerlendirilen Konni adlı bir tehdit aktörüne atfedildi.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, bu hafta yayınlanan bir analizde, "Bu kampanya, güvenliği ihlal edilmiş cihazlarda bilgi çıkarabilen ve komutları yürütebilen bir uzaktan erişim truva atına (RAT) dayanıyor" dedi.
Siber casusluk grubu, saldırıları için giriş noktaları olarak hedef odaklı kimlik avı e-postalarının ve kötü amaçlı belgelerin kullanılmasını içeren çalışma şekliyle Rusya'yı hedef almasıyla dikkat çekiyor.
Knowsec ve ThreatMon tarafından belgelenen son saldırılar, WinRAR güvenlik açığından (CVE-2023-38831) yararlandı ve Konni RAT'ı ve virüslü makinelerden veri toplayabilen bir Windows Batch komut dosyasını bırakmak için Visual Basic komut dosyalarını gizledi.
ThreatMon, "Konni'nin birincil hedefleri arasında veri hırsızlığı ve casusluk faaliyetleri yürütmek yer alıyor" dedi. "Bu hedeflere ulaşmak için grup, çok çeşitli kötü amaçlı yazılımlar ve araçlar kullanıyor ve taktiklerini tespit ve ilişkilendirmeden kaçınmak için sık sık uyarlıyor."
Fortinet tarafından gözlemlenen en son saldırı dizisi, etkinleştirildiğinde, "Özel Askeri Operasyonun İlerlemesine İlişkin Batı Değerlendirmeleri" hakkında olduğu iddia edilen Rusça bir makale görüntüleyen makro bağcıklı bir Word belgesini içeriyor.
Visual Basic for Application (VBA) makrosu daha sonra sistem denetimleri, Kullanıcı Hesabı Denetimi (UAC) atlaması gerçekleştiren ve sonuç olarak bilgi toplama ve sızdırma yeteneklerini içeren bir DLL dosyasının dağıtımının önünü açan geçici bir Batch komut dosyası başlatmaya devam eder.
Lin, "Yük, bir UAC baypas ve bir C2 sunucusuyla şifreli iletişim içeriyor ve tehdit aktörünün ayrıcalıklı komutları yürütmesini sağlıyor" dedi.
Konni, Rusya'yı dışlayan tek Kuzey Koreli tehdit aktörü olmaktan çok uzak. Kaspersky, Microsoft ve SentinelOne tarafından toplanan kanıtlar, ScarCruft (diğer adıyla APT37) olarak adlandırılan düşman kolektifin ülkede bulunan ticaret şirketlerini ve füze mühendisliği firmalarını da hedef aldığını gösteriyor.
Açıklama, Rus devlete ait telekom şirketi Rostelecom'un siber güvenlik kolu Solar'ın, başta Çin ve Kuzey Kore olmak üzere Asya'dan gelen tehdit aktörlerinin ülkenin altyapısına yönelik saldırıların çoğunu oluşturduğunu açıklamasından iki haftadan kısa bir süre sonra geldi.
Şirket, "Kuzey Koreli Lazarus grubu, Rusya Federasyonu topraklarında da çok aktif" dedi. "Kasım ayı başı itibariyle, Lazarus bilgisayar korsanlarının hala bir dizi Rus sistemine erişimi var."
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı