ClickCease Alerta sobre el malware Konni: descubrir la amenaza en ruso

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta sobre el malware Konni: descubrir la amenaza en ruso

Wajahat Raja

5 de diciembre de 2023 - Equipo de expertos TuxCare

En el siempre cambiante panorama de la ciberseguridad, un reciente descubrimiento arroja luz sobre un nuevo ataque de phishing bautizado como malware Konni. Este ciberataque emplea un documento de Microsoft Word en ruso de Microsoft Word en ruso, una potente cepa de malware diseñada para obtener información confidencial de sistemas Windows comprometidos.

 

Identificar al culpable del malware Konni


Atribuida al actor de amenazas Konni, esta campaña comparte sorprendentes similitudes con el cluster norcoreano conocido como Kimsuky (también reconocido como APT43). La investigadora de Fortinet FortiGuard Labs Cara Lin, en un
análisis recientereveló que el ataque se basa en un troyano de acceso remoto (RAT). Tiene la capacidad de extraer información y ejecutar comandos en los dispositivos comprometidos.


Análisis del troyano Konni


Konni, conocido por su orientación estratégica hacia
ciberataques en rusoutiliza correos electrónicos de phishing selectivo y documentos maliciosos como puntos de entrada para sus ciberataques. Recientes ataques de malware basados en documentosdocumentados por Knowsec y ThreatMon, aprovechan vulnerabilidades como la de WinRAR (CVE-2023-38831) y emplean scripts Visual Basic ofuscados para desplegar la RAT Konni y un script Windows Batch para la recolección de datos de las máquinas infectadas.


Modus operandi


Los principales objetivos de
amenazas de ciberseguridad de Konni incluyen la filtración de datos y las actividades de espionaje. Para lograr estos objetivos, el actor de la amenaza despliega una diversa gama de malware y herramientas, adaptando constantemente las tácticas para evadir la detección y la atribución. ThreatMon señala que Konni es ágil en su enfoque, utilizando vulnerabilidades de WinRAR y scripts ofuscados para infiltrarse y comprometer los sistemas.


Desentrañar la secuencia de ataque


La última observación de Fortinet detalla un documento de Word en ruso con macros, enmascarado como un artículo sobre las "Evaluaciones Occidentales del Progreso de la Operación Militar Especial". Cuando está activada, la macro de Visual Basic para Aplicaciones (VBA) inicia un script Batch provisional, realizando comprobaciones del sistema y eludiendo el Control de Cuentas de Usuario (UAC). En última instancia, esta secuencia facilita el despliegue de un archivo DLL que incluye funciones de recopilación de información y exfiltración.


Mecánica de la carga útil


La propia carga útil incorpora un bypass UAC y establece una comunicación cifrada con un servidor de mando y control (C2). Esta sofisticada
inteligencia de ciberamenazas permite al autor de la amenaza ejecutar comandos privilegiados, lo que supone un riesgo significativo para la integridad del sistema comprometido.


Las complejidades internacionales


Konni no es el único actor de amenazas norcoreano con
grupos cibercriminales en ruso en su punto de mira. Una investigación conjunta de Kaspersky, Microsoft y SentinelOne indica que ScarCruft (alias APT37) también ha atacado a empresas comerciales y de ingeniería de misiles del país. Esta revelación se produce poco después de que Solar, el brazo de ciberseguridad de la empresa estatal rusa de telecomunicaciones Rostelecom, revelara que los actores de amenazas procedentes de Asia, predominantemente China y Corea del Norte, son responsables de la mayoría de los recientes ataques a las infraestructuras críticas de Rusia.


Perspectivas de la ciberseguridad rusa


La reciente revelación de Solar subraya la persistente amenaza que supone el grupo norcoreano Lazarus dentro de la Federación Rusa. A principios de noviembre,
los hackers de Lazarus siguen teniendo acceso a numerosos sistemas rusos, lo que pone de relieve los retos a los que se enfrenta la infraestructura de ciberseguridad del país.


Conclusión

 

La evolución de tácticas de distribución de malware de los actores de amenazas como Konni requieren una vigilancia constante y medidas de ciberseguridad proactivas. A medida que avanza el panorama digital, la colaboración entre los expertos en ciberseguridad y las organizaciones se vuelve primordial para mitigar los riesgos que plantean las sofisticadas campañas de ciberespionaje.

Mantener prácticas sólidas de ciberseguridadincluida la vigilancia detección y prevención de malware es imprescindible para protegerse de amenazas cambiantes como la campaña Konni y garantizar la resistencia y la integridad de los ecosistemas digitales.

Manténgase informado, manténgase seguro.

Las fuentes de este artículo incluyen artículos en The Hacker News y ISP.PAGE.

Resumen
Alerta sobre el malware Konni: descubrir la amenaza en ruso
Nombre del artículo
Alerta sobre el malware Konni: descubrir la amenaza en ruso
Descripción
Manténgase informado sobre la amenaza del malware Konni mediante documentos en ruso. Aprenda a proteger su sistema y sus datos ahora mismo.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín