Alerte au logiciel malveillant Konni : découverte de la menace en langue russe
Dans le paysage en constante évolution de la cybersécurité, une découverte récente met en lumière une nouvelle attaque de phishing baptisée logiciel malveillant Konni. Ce cyber-agresseur utilise un document Microsoft Word en langue russe Cette cyberattaque utilise un document Microsoft Word en langue russe comme arme de choix, délivrant une puissante souche de logiciels malveillants conçue pour recueillir des informations sensibles à partir de systèmes Windows compromis.
Identifier le coupable du logiciel malveillant Konni
Attribuée à l'acteur de menace Konni, cette campagne présente des similitudes frappantes avec le groupe nord-coréen connu sous le nom de Kimsuky (également reconnu comme APT43). Dans une analyse récente, Cara Lin, chercheuse de Fortinet FortiGuard Labs, a analyse récentea révélé que l'attaque repose sur un cheval de Troie d'accès à distance (RAT). Il a la capacité d'extraire des informations et d'exécuter des commandes sur les appareils compromis.
Analyse du cheval de Troie Konni
Konni, connu pour son ciblage stratégique des cyberattaques en langue russe, a été mis à l'index. cyberattaques en langue russeutilise des courriels de spear-phishing et des documents malveillants comme points d'entrée pour ses cyber-attaques. Les récentes attaques de logiciels malveillants basées sur des documentsdocumentées par Knowsec et ThreatMon, exploitent des vulnérabilités telles que la vulnérabilité de WinRAR (CVE-2023-38831) et utilisent des scripts Visual Basic obscurcis pour déployer le RAT Konni et un script Windows Batch pour collecter des données sur les machines infectées.
Modus Operandi
Les principaux objectifs de la menaces de cybersécurité de Konni englobent l'exfiltration de données et les activités d'espionnage. Pour atteindre ces objectifs, l'acteur de la menace déploie une gamme variée de logiciels malveillants et d'outils, adaptant constamment ses tactiques pour échapper à la détection et à l'attribution. ThreatMon note que Konni est agile dans son approche, utilisant les vulnérabilités de vulnérabilités de WinRAR et des scripts obscurcis pour infiltrer et compromettre les systèmes.
Déroulement de la séquence d'attaque
La dernière observation de Fortinet fait état d'un document Word en russe contenant des macros, qui se fait passer pour un article sur les "évaluations occidentales des progrès de l'opération militaire spéciale". Lorsqu'elle est activée, la macro Visual Basic for Application (VBA) lance un script Batch intermédiaire, qui effectue des vérifications du système et contourne le contrôle des comptes d'utilisateurs (UAC). Cette séquence facilite finalement le déploiement d'un fichier DLL, intégrant des capacités de collecte d'informations et d'exfiltration.
Mécanique de la charge utile
La charge utile elle-même intègre un contournement de l'UAC et établit une communication cryptée avec un serveur de commande et de contrôle (C2). Ce système sophistiqué de renseignements sophistiqués sur les cybermenaces permet à l'acteur de la menace d'exécuter des commandes privilégiées, ce qui représente un risque important pour l'intégrité du système compromis.
Les complexités internationales
Konni n'est pas le seul acteur de la menace nord-coréenne avec des groupes cybercriminels en langue russe. groupes cybercriminels de langue russe dans sa ligne de mire. Des recherches menées en collaboration par Kaspersky, Microsoft et SentinelOne indiquent que ScarCruft (alias APT37) a également ciblé des sociétés commerciales et des sociétés d'ingénierie de missiles dans le pays. Cette révélation intervient juste après que Solar, la branche cybersécurité de l'entreprise publique russe de télécommunications Rostelecom, a révélé que des acteurs asiatiques, principalement la Chine et la Corée du Nord, étaient responsables de la majorité des attaques récentes contre les infrastructures critiques de la Russie.
La cybersécurité en Russie
La récente divulgation de Solar souligne la menace persistante que représente le groupe nord-coréen Lazarus au sein de la Fédération de Russie. Début novembre, pirates Lazarus ont toujours accès à de nombreux systèmes russes, ce qui met en évidence les défis permanents auxquels est confrontée l'infrastructure de cybersécurité du pays.
Conclusion
L'évolution des tactiques de distribution de logiciels malveillants des acteurs de la menace comme Konni nécessitent une vigilance constante et des mesures de cybersécurité proactives. Alors que le paysage numérique continue de progresser, la collaboration entre les experts en cybersécurité et les organisations devient primordiale pour atténuer les risques posés par les campagnes sophistiquées de campagnes de cyberespionnage sophistiquées.
Maintenir des de solides pratiques de cybersécuritéy compris la détection et la prévention vigilantes des logiciels malveillants détection et la prévention des logiciels malveillants est impératif pour se prémunir contre les menaces évolutives telles que la campagne Konni, et garantir la résilience et l'intégrité des écosystèmes numériques.
Restez informé, restez en sécurité.
Les sources de cet article comprennent des articles dans The Hacker News et ISP.PAGE.