Konni-Malware-Alarm: Aufdeckung der russischsprachigen Bedrohung
In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit wirft eine jüngste Entdeckung Licht auf einen neuen Phishing-Angriff, der den Namen Konni-Schadprogramm. Bei diesem Cyberangriff wird ein russischsprachiges Microsoft Word-Dokument als Malware als Waffe der Wahl, die einen starken Malware-Stamm liefert, der darauf ausgelegt ist, vertrauliche Informationen von kompromittierten Windows-Systemen abzufangen.
Identifizierung des Konni-Malware-Täters
Diese Kampagne wird dem Bedrohungsakteur Konni zugeschrieben und weist auffällige Ähnlichkeiten mit dem nordkoreanischen Cluster Kimsuky (auch bekannt als APT43) auf. Fortinet FortiGuard Labs-Forscherin Cara Lin hat in einer jüngsten Analyseauf, dass der Angriff auf einem Remote Access Trojaner (RAT) basiert. Dieser ist in der Lage, Informationen zu extrahieren und Befehle auf kompromittierten Geräten auszuführen.
Konni-Trojaner-Analyse
Konni, bekannt für seine strategische Ausrichtung auf russischsprachige CyberangriffeKonni ist bekannt für seine strategische Ausrichtung auf Cyberangriffe in russischer Sprache und nutzt Spearphishing-E-Mails und bösartige Dokumente als Einstiegspunkte für seine Cyberangriffe. Jüngste dokumentenbasierte Malware-Angriffe, die von Knowsec und ThreatMon dokumentiert wurden, nutzen Schwachstellen wie die WinRAR-Schwachstelle (CVE-2023-38831) und verwenden verschleierte Visual Basic-Skripte, um das Konni RAT und ein Windows Batch-Skript zur Datenerfassung auf infizierten Computern einzusetzen.
Modus Operandi
Die Hauptziele der Cybersicherheitsbedrohungen von Konni umfassen die Exfiltration von Daten und Spionageaktivitäten. Um diese Ziele zu erreichen, setzt der Bedrohungsakteur ein breites Spektrum an Malware und Tools ein und passt seine Taktik ständig an, um sich der Erkennung und Zuordnung zu entziehen. ThreatMon stellt fest, dass Konni sehr agil vorgeht und folgende Schwachstellen ausnutzt WinRAR-Schwachstellen und verschleierte Skripte, um Systeme zu infiltrieren und zu kompromittieren.
Enträtseln der Angriffssequenz
Die jüngste Beobachtung von Fortinet betrifft ein mit einem Makro versehenes Word-Dokument in russischer Sprache, das sich als Artikel über die "westlichen Bewertungen des Fortschritts der militärischen Sonderoperation" ausgibt. Wenn das Visual Basic for Application (VBA)-Makro aktiviert ist, wird ein Batch-Skript gestartet, das Systemprüfungen durchführt und die Benutzerkontensteuerung (UAC) umgeht. Diese Sequenz erleichtert schließlich die Bereitstellung einer DLL-Datei, in der Funktionen zum Sammeln von Informationen und zur Exfiltration eingebettet sind.
Mechanik der Nutzlast
Die Nutzlast selbst enthält eine UAC-Umgehung und baut eine verschlüsselte Kommunikation mit einem Command-and-Control-Server (C2) auf. Diese hochentwickelte Cyber-Bedrohungsintelligenz ermöglicht es dem Bedrohungsakteur, privilegierte Befehle auszuführen, was ein erhebliches Risiko für die Integrität des angegriffenen Systems darstellt.
Internationale Verflechtungen
Konni ist nicht der einzige nordkoreanische Bedrohungsakteur mit russischsprachige cyberkriminelle Gruppen im Fadenkreuz. Gemeinsame Untersuchungen von Kaspersky, Microsoft und SentinelOne zeigen, dass ScarCruft (alias APT37) auch Handelsunternehmen und Raketentechnikfirmen im Land ins Visier genommen hat. Diese Enthüllung folgt auf die Enthüllung von Solar, der Cybersicherheitsabteilung des staatlichen russischen Telekommunikationsunternehmens Rostelecom, dass Bedrohungsakteure aus Asien, vor allem aus China und Nordkorea, für einen Großteil der jüngsten Angriffe auf kritische Infrastrukturen in Russland verantwortlich sind.
Einblicke in die russische Cybersicherheit
Die jüngste Enthüllung von Solar unterstreicht die anhaltende Bedrohung, die von der nordkoreanischen Lazarus-Gruppe in der Russischen Föderation ausgeht. Stand: Anfang November, Lazarus-Hacker immer noch Zugang zu zahlreichen russischen Systemen, was die anhaltenden Herausforderungen für die Cybersicherheitsinfrastruktur des Landes verdeutlicht.
Schlussfolgerung
Die sich weiterentwickelnden Malware-Verbreitungstaktiken von Bedrohungsakteuren wie Konni erfordern ständige Wachsamkeit und proaktive Cybersicherheitsmaßnahmen. Da die digitale Landschaft immer weiter voranschreitet, ist die Zusammenarbeit zwischen Cybersecurity-Experten und Unternehmen von größter Bedeutung, um die Risiken zu mindern, die von ausgeklügelten Cyberspionage-Kampagnen.
Aufrechterhaltung von robuste Cybersicherheitspraktikeneinschließlich aufmerksamer Malware-Erkennung und -Prävention ist unerlässlich, um sich vor neuen Bedrohungen wie der Konni-Kampagne zu schützen und die Widerstandsfähigkeit und Integrität digitaler Ökosysteme zu gewährleisten.
Bleiben Sie informiert, bleiben Sie sicher.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und ISP.PAGE.