ClickCease Konni-Malware-Alarm: Aufdeckung der russischsprachigen Bedrohung

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Konni-Malware-Alarm: Aufdeckung der russischsprachigen Bedrohung

von Wajahat Raja

5. Dezember 2023. TuxCare-Expertenteam

In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit wirft eine jüngste Entdeckung Licht auf einen neuen Phishing-Angriff, der den Namen Konni-Schadprogramm. Bei diesem Cyberangriff wird ein russischsprachiges Microsoft Word-Dokument als Malware als Waffe der Wahl, die einen starken Malware-Stamm liefert, der darauf ausgelegt ist, vertrauliche Informationen von kompromittierten Windows-Systemen abzufangen.

 

Identifizierung des Konni-Malware-Täters


Diese Kampagne wird dem Bedrohungsakteur Konni zugeschrieben und weist auffällige Ähnlichkeiten mit dem nordkoreanischen Cluster Kimsuky (auch bekannt als APT43) auf. Fortinet FortiGuard Labs-Forscherin Cara Lin hat in einer
jüngsten Analyseauf, dass der Angriff auf einem Remote Access Trojaner (RAT) basiert. Dieser ist in der Lage, Informationen zu extrahieren und Befehle auf kompromittierten Geräten auszuführen.


Konni-Trojaner-Analyse


Konni, bekannt für seine strategische Ausrichtung auf
russischsprachige CyberangriffeKonni ist bekannt für seine strategische Ausrichtung auf Cyberangriffe in russischer Sprache und nutzt Spearphishing-E-Mails und bösartige Dokumente als Einstiegspunkte für seine Cyberangriffe. Jüngste dokumentenbasierte Malware-Angriffe, die von Knowsec und ThreatMon dokumentiert wurden, nutzen Schwachstellen wie die WinRAR-Schwachstelle (CVE-2023-38831) und verwenden verschleierte Visual Basic-Skripte, um das Konni RAT und ein Windows Batch-Skript zur Datenerfassung auf infizierten Computern einzusetzen.


Modus Operandi


Die Hauptziele der
Cybersicherheitsbedrohungen von Konni umfassen die Exfiltration von Daten und Spionageaktivitäten. Um diese Ziele zu erreichen, setzt der Bedrohungsakteur ein breites Spektrum an Malware und Tools ein und passt seine Taktik ständig an, um sich der Erkennung und Zuordnung zu entziehen. ThreatMon stellt fest, dass Konni sehr agil vorgeht und folgende Schwachstellen ausnutzt WinRAR-Schwachstellen und verschleierte Skripte, um Systeme zu infiltrieren und zu kompromittieren.


Enträtseln der Angriffssequenz


Die jüngste Beobachtung von Fortinet betrifft ein mit einem Makro versehenes Word-Dokument in russischer Sprache, das sich als Artikel über die "westlichen Bewertungen des Fortschritts der militärischen Sonderoperation" ausgibt. Wenn das Visual Basic for Application (VBA)-Makro aktiviert ist, wird ein Batch-Skript gestartet, das Systemprüfungen durchführt und die Benutzerkontensteuerung (UAC) umgeht. Diese Sequenz erleichtert schließlich die Bereitstellung einer DLL-Datei, in der Funktionen zum Sammeln von Informationen und zur Exfiltration eingebettet sind.


Mechanik der Nutzlast


Die Nutzlast selbst enthält eine UAC-Umgehung und baut eine verschlüsselte Kommunikation mit einem Command-and-Control-Server (C2) auf. Diese hochentwickelte
Cyber-Bedrohungsintelligenz ermöglicht es dem Bedrohungsakteur, privilegierte Befehle auszuführen, was ein erhebliches Risiko für die Integrität des angegriffenen Systems darstellt.


Internationale Verflechtungen


Konni ist nicht der einzige nordkoreanische Bedrohungsakteur mit
russischsprachige cyberkriminelle Gruppen im Fadenkreuz. Gemeinsame Untersuchungen von Kaspersky, Microsoft und SentinelOne zeigen, dass ScarCruft (alias APT37) auch Handelsunternehmen und Raketentechnikfirmen im Land ins Visier genommen hat. Diese Enthüllung folgt auf die Enthüllung von Solar, der Cybersicherheitsabteilung des staatlichen russischen Telekommunikationsunternehmens Rostelecom, dass Bedrohungsakteure aus Asien, vor allem aus China und Nordkorea, für einen Großteil der jüngsten Angriffe auf kritische Infrastrukturen in Russland verantwortlich sind.


Einblicke in die russische Cybersicherheit


Die jüngste Enthüllung von Solar unterstreicht die anhaltende Bedrohung, die von der nordkoreanischen Lazarus-Gruppe in der Russischen Föderation ausgeht. Stand: Anfang November,
Lazarus-Hacker immer noch Zugang zu zahlreichen russischen Systemen, was die anhaltenden Herausforderungen für die Cybersicherheitsinfrastruktur des Landes verdeutlicht.


Schlussfolgerung

 

Die sich weiterentwickelnden Malware-Verbreitungstaktiken von Bedrohungsakteuren wie Konni erfordern ständige Wachsamkeit und proaktive Cybersicherheitsmaßnahmen. Da die digitale Landschaft immer weiter voranschreitet, ist die Zusammenarbeit zwischen Cybersecurity-Experten und Unternehmen von größter Bedeutung, um die Risiken zu mindern, die von ausgeklügelten Cyberspionage-Kampagnen.

Aufrechterhaltung von robuste Cybersicherheitspraktikeneinschließlich aufmerksamer Malware-Erkennung und -Prävention ist unerlässlich, um sich vor neuen Bedrohungen wie der Konni-Kampagne zu schützen und die Widerstandsfähigkeit und Integrität digitaler Ökosysteme zu gewährleisten.

Bleiben Sie informiert, bleiben Sie sicher.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und ISP.PAGE.

Zusammenfassung
Konni-Malware-Alarm: Aufdeckung der russischsprachigen Bedrohung
Artikel Name
Konni-Malware-Alarm: Aufdeckung der russischsprachigen Bedrohung
Beschreibung
Informieren Sie sich über die Bedrohung durch die Konni-Malware anhand von Dokumenten in russischer Sprache. Erfahren Sie, wie Sie Ihr System schützen und Ihre Daten sichern können!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!