ClickCease Konni RAT Malware-Angriff: Russische Regierungssoftware-Backdoor

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Konni RAT Malware-Angriff: Russische Regierungssoftware-Backdoor

von Wajahat Raja

6. Februar 2024. TuxCare-Expertenteam

In einer jüngsten Enthüllunghat das deutsche Cybersicherheitsunternehmen DCSO den Konni RAT-Malware-Angriff aufgedeckt, bei dem ein Fernzugriffstrojaner eingesetzt wurde. Die Angreifer nutzten auf raffinierte Weise ein Installationsprogramm für ein Tool, das mit der russischen Konsularabteilung des Außenministeriums (MID) verbunden ist. Dieses Tool mit dem Namen "Statistika KZU" wurde durch eine Hintertür aktiviert, was zur Auslieferung des Konni RAT.

In diesem Blog befassen wir uns mit den komplizierten Details des Konni RAT-Malware-Angriffsund beleuchten seinen Ursprung, seinen Modus Operandi und seine Auswirkungen auf die Cybersicherheit.

 

Ursprung und Zuordnung des Konni RAT-Malware-Angriffs


Der Ursprung dieser Cyber-Aktivitäten wurde zu Akteuren zurückverfolgt, die mit der Demokratischen Volksrepublik Korea (DVRK), allgemein bekannt als Nordkorea, in Verbindung stehen. Bemerkenswerterweise zielten diese der DVRK nahestehenden Akteure auf Russland ab, insbesondere auf die russische Konsularabteilung. Der Konni-Aktivitätscluster, der auch als Opal Sleet, Osmium oder TA406 bekannt ist, hat nachweislich das Konni-RAT gegen russische Einrichtungen eingesetzt. 

Der Bedrohungsakteur wird seit mindestens einem Jahr mit Angriffen auf das MID in Verbindung gebracht Oktober 2021. Diese Enthüllung folgt auf eine frühere Entdeckung von Fortinet FortiGuard Labs im November 2023, bei der russischsprachige Microsoft-Word-Dokumente zur Verbreitung von Malware verwendet wurden, die sensible Informationen von kompromittierten Windows-Hosts auslesen konnte.


Konni RAT-Malware wird über Backdoor-Software der russischen Regierung verbreitet


Das DCSO wies auf die Technik der Angreifer hin, das Konni RAT in Software-Installationsprogrammen zu verpacken. Diese Technik wurde bereits im Oktober 2023 beobachtet, als eine mit einem Backdoor versehene russische Steuererklärungssoftware namens Spravki BK für denselben Zweck verwendet wurde. 

In diesem Fall war das kompromittierte Installationsprogramm mit der Statistika KZU-Malware die für den internen Gebrauch innerhalb des russischen MID bestimmt war. Das Tool erleichterte insbesondere die Weiterleitung von Jahresberichtsdateien von konsularischen Vertretungen in Übersee an die Konsularabteilung des MID über einen sicheren Kanal.


Sequenz der Infektion


Das trojanisierte Installationsprogramm, das als MSI-Datei identifiziert wird, löst beim Start eine Infektionssequenz aus. Diese Sequenz stellt den Kontakt zu einem Command-and-Control-Server (C2) her, der auf weitere Anweisungen der Angreifer wartet. Die
Konni RAT-Funktionen (Befehlsausführung, Dateiübertragung, Spionage) sind seit mindestens 2014 im Einsatz. Es ist auch bekannt, dass es von anderen nordkoreanischen Bedrohungsakteureneinschließlich Kimsuky und ScarCruft (APT37).


Quelle, Motivation und geopolitische Auswirkungen


Die Quelle der
russischen Regierungssoftware-Backdoor bleibt unklar, da sie nicht öffentlich zugänglich ist. Es besteht jedoch der Verdacht, dass die Bedrohungsakteure aufgrund der umfangreichen Spionageoperationen gegen Russland in der Lage waren, potenzielle Tools für spätere Angriffe zu identifizieren.

Nordkoreas Angriffe auf Russland sind zwar kein neues Phänomen, doch der Zeitpunkt dieser Cyber-Bedrohung ist bemerkenswert. Sie erfolgt inmitten der zunehmenden geopolitischen Nähe zwischen den beiden Ländern. Jüngsten Berichten nordkoreanischer Staatsmedien zufolge hat der russische Präsident Wladimir Putin dem Machthaber Kim Jong Un ein Luxusauto aus russischer Produktion geschenkt. 

DCSO CyTec-Forschung deuten darauf hin, dass Nordkorea trotz wachsender strategischer Beziehungen ein starkes Interesse daran hat, die russischen außenpolitischen Planungen und Ziele zu bewerten und zu überprüfen. Die Entdeckung der Konni RAT-Malware Russische Regierungssoftware-Backdoor verdeutlicht die ausgefeilten Taktiken, die von Cyber-Bedrohungsakteuren bei der Kompromittierung sensibler Systeme eingesetzt werden.


Schlussfolgerung

 

Nordkoreanische Cyberangriffe stellen weiterhin eine erhebliche Bedrohung für die globale Cybersicherheitsinfrastruktur dar. Die Entdeckung des Konni RAT, das über ein getarntes Tool des russischen Konsulats eingesetzt wurde, unterstreicht die sich entwickelnde Landschaft der Cyberbedrohungen und geopolitischen Verwicklungen.

Konni RAT-Malware wird mit russischer Regierungssoftware eingesetzt zeigt die zunehmende Raffinesse von Cyber-Bedrohungen, die auf Regierungssysteme abzielen. Da Cyber-Bedrohungen weiterhin Grenzen überschreiten, müssen Organisationen wachsam bleiben und robuste Cybersicherheitsmaßnahmen um sensible Informationen zu schützen und die Geschäftskontinuität zu gewährleisten.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Cyber Security News.

Zusammenfassung
Konni RAT Malware-Angriff: Russische Regierungssoftware-Backdoor
Artikel Name
Konni RAT Malware-Angriff: Russische Regierungssoftware-Backdoor
Beschreibung
Erfahren Sie das Neueste über den Konni RAT-Malware-Angriff. Bleiben Sie auf dem Laufenden über Cybersecurity-Backdoor-Verletzungen und verbessern Sie Ihre Sicherheitslage.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!