Ataque de malware Konni RAT: Backdoor de software gubernamental ruso
En una reciente revelaciónla empresa alemana de ciberseguridad DCSO ha descubierto el ataque de malware Konni RAT que implica el despliegue de un troyano de acceso remoto. Los atacantes aprovecharon ingeniosamente un instalador de una herramienta asociada al Departamento Consular Ruso del Ministerio de Asuntos Exteriores (MID). Se descubrió que esta herramienta, denominada "Statistika KZU", había sido pirateada, lo que llevó a la distribución del RAT Konni RAT.
En este blog, profundizaremos en los intrincados detalles del ataque de malware Konni RATarrojando luz sobre sus orígenes, modus operandi e implicaciones para la ciberseguridad.
Origen y atribución del ataque del malware Konni RAT
El origen de esta actividad cibernética se ha rastreado hasta actores asociados con la República Popular Democrática de Corea (RPDC), comúnmente conocida como Corea del Norte. Sorprendentemente, se descubrió que estos actores vinculados a la RPDC tenían como objetivo Rusia, concretamente el Departamento Consular ruso. El grupo de actividad Konni, también conocido como Opal Sleet, Osmium o TA406, tiene un historial documentado de despliegue de la RAT Konni contra entidades rusas.
El actor de amenazas ha estado vinculado a ataques contra el MID desde al menos octubre de 2021. Esta revelación sigue al descubrimiento anterior de Fortinet FortiGuard Labs en noviembre de 2023, en el que se utilizaron documentos de Microsoft Word en ruso para distribuir malware capaz de recopilar información confidencial de hosts Windows comprometidos.
El malware Konni RAT se despliega a través de una puerta trasera de software gubernamental ruso
DCSO destacó la técnica de los atacantes de empaquetar la RAT Konni dentro de instaladores de software. Cabe destacar que esta técnica ya se había observado en octubre de 2023, cuando se utilizó con el mismo fin un software ruso de declaración de impuestos llamado Spravki BK.
En este caso, el instalador comprometido estaba asociado con el malware Statistika KZU destinado a uso interno en el MID ruso. En concreto, la herramienta facilitaba la transmisión de archivos de informes anuales desde las oficinas consulares en el extranjero al Departamento Consular del MID a través de un canal seguro.
Secuencia de infección
El instalador troyanizado, identificado como un archivo MSI, desencadena una secuencia de infección al iniciarse. Esta secuencia establece contacto con un servidor de mando y control (C2), a la espera de nuevas instrucciones de los atacantes. El capacidades de Konni RAT (ejecución de comandos, transferencia de archivos, espionaje) han estado operativas al menos desde 2014. También se sabe que es utilizado por otros actores de amenazas norcoreanoscomo Kimsuky y ScarCruft (APT37).
Origen, motivación e implicaciones geopolíticas
La fuente del software backdoor del gobierno ruso del gobierno ruso sigue sin estar clara, ya que no está a disposición del público. Sin embargo, surgen sospechas de que el amplio historial de operaciones de espionaje dirigidas a Rusia puede haber permitido a los actores de la amenaza identificar herramientas potenciales para ataques posteriores.
Aunque los ataques de Corea del Norte contra Rusia no son un fenómeno nuevo, el momento de esta ciberamenaza es digno de mención. Se produce en medio de una creciente proximidad geopolítica entre ambos países. Informes recientes de los medios de comunicación estatales norcoreanos revelan que el presidente ruso Vladimir Putin regaló al líder Kim Jong Un un coche de lujo de fabricación rusa.
La investigación de DCSO CyTec sugiere que, a pesar de los crecientes lazos estratégicos, Corea del Norte mantiene un gran interés en evaluar y verificar la planificación y los objetivos de la política exterior rusa. El descubrimiento del malware Konni RAT puerta trasera de software del Gobierno ruso pone de relieve las sofisticadas tácticas empleadas por los actores de ciberamenazas para comprometer sistemas sensibles.
Conclusión
Los ciberataques norcoreanos siguen planteando importantes amenazas a la infraestructura mundial de ciberseguridad. El descubrimiento del RAT Konni, desplegado a través de una herramienta del Departamento Consular ruso, pone de relieve la evolución del panorama de las ciberamenazas y los entresijos geopolíticos.
El malware Konni RAT desplegado utilizando software del Gobierno ruso muestra la creciente sofisticación de las ciberamenazas dirigidas a los sistemas gubernamentales. Dado que las ciberamenazas siguen traspasando fronteras, las organizaciones deben permanecer vigilantes y adoptar medidas sólidas de ciberseguridad para salvaguardar la información sensible y garantizar la continuidad del negocio.
Las fuentes de este artículo incluyen artículos en The Hacker News y Noticias sobre ciberseguridad.