Rus Hükümeti Yazılımı, Konni RAT Kötü Amaçlı Yazılımını Dağıtmak İçin Arka Kapıları geçti

Bulgular, faaliyetin Rusya'yı hedef alan Kore Demokratik Halk Cumhuriyeti (KDHC) ile bağlantı kuran aktörlerden kaynaklandığını gösteren Alman siber güvenlik şirketi DCSO'dan geliyor.

Konni (diğer adıyla Opal Sleet, Osmium veya TA406) faaliyet kümesi, Konni RAT'ı Rus varlıklarına karşı konuşlandırma konusunda yerleşik bir modele sahiptir ve tehdit aktörü, en azından Ekim 2021'den bu yana MID'ye yönelik saldırılarla da bağlantılıdır.

Kasım 2023'te Fortinet FortiGuard Labs, güvenliği ihlal edilmiş Windows ana bilgisayarlarından hassas bilgileri toplayabilen kötü amaçlı yazılımlar göndermek için Rusça Microsoft Word belgelerinin kullanıldığını ortaya çıkardı.

DCSO, Konni RAT'ın yazılım yükleyicileri içinde paketlenmesinin, daha önce Ekim 2023'te truva atını dağıtmak için Spravki BK adlı arka kapılı bir Rus vergi dosyalama yazılımından yararlandığı tespit edildiğinde grup tarafından benimsenen bir teknik olduğunu söyledi.

Berlin merkezli şirket, "Bu örnekte, arka kapılı yükleyici 'Statistika KZU' (Cтатистика КЗУ) adlı bir araç için görünüyor" dedi.

"Yükleyicide bulunan yükleme yolları, dosya meta verileri ve kullanım kılavuzları temelinde, [...] yazılım, Rusya Dışişleri Bakanlığı (MID) bünyesinde, özellikle denizaşırı konsolosluk görevlerinden (КЗУ — консульские загранучреждения) yıllık rapor dosyalarının güvenli bir kanal aracılığıyla MID Konsolosluk Departmanına iletilmesi için tasarlanmıştır."

Truva atı haline getirilmiş yükleyici, başlatıldığında, daha fazla talimat beklemek üzere bir komut ve kontrol (C2) sunucusuyla bağlantı kurmak için bulaşma dizisini başlatan bir MSI dosyasıdır.

Dosya aktarımları ve komut yürütme yetenekleriyle birlikte gelen uzaktan erişim truva atının 2014 gibi erken bir tarihte kullanıma sunulduğuna inanılıyor ve ayrıca Kimsuky ve ScarCruft (diğer adıyla APT37) olarak bilinen diğer Kuzey Koreli tehdit aktörleri tarafından da kullanıldı.

Herkese açık olmadığı göz önüne alındığında, tehdit aktörlerinin yükleyicinin bir kopyasını nasıl almayı başardıkları şu anda net değil. Ancak, Rusya'yı hedef alan casusluk operasyonlarının uzun geçmişinin, sonraki saldırılar için olası araçları belirlemelerine yardımcı olabileceğinden şüpheleniliyor.

Kuzey Kore'nin Rusya'yı hedef alması yeni olmasa da, gelişme iki ülke arasındaki artan jeopolitik yakınlığın ortasında geliyor. Hermit Krallığı'ndan devlet medyası bu hafta Rusya Devlet Başkanı Vladimir Putin'in lider Kim Jong Un'a lüks bir Rus yapımı araba verdiğini bildirdi.

"Bir dereceye kadar, bu bir sürpriz olmamalı; artan stratejik yakınlığın, KDHC'nin Rus dış politika planlamasını ve hedeflerini değerlendirebilmesi ve doğrulayabilmesi için devam eden bir ihtiyaç ile mevcut KDHC toplama ihtiyaçlarının tam olarak üzerine yazılması beklenmeyecektir" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği