ClickCease Alerte au logiciel malveillant Konni : découverte de la menace en langue russe

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Alerte au logiciel malveillant Konni : découverte de la menace en langue russe

Wajahat Raja

Le 5 décembre 2023 - L'équipe d'experts de TuxCare

Dans le paysage en constante évolution de la cybersécurité, une découverte récente met en lumière une nouvelle attaque de phishing baptisée logiciel malveillant Konni. Ce cyber-agresseur utilise un document Microsoft Word en langue russe Cette cyberattaque utilise un document Microsoft Word en langue russe comme arme de choix, délivrant une puissante souche de logiciels malveillants conçue pour recueillir des informations sensibles à partir de systèmes Windows compromis.

 

Identifier le coupable du logiciel malveillant Konni


Attribuée à l'acteur de menace Konni, cette campagne présente des similitudes frappantes avec le groupe nord-coréen connu sous le nom de Kimsuky (également reconnu comme APT43). Dans une analyse récente, Cara Lin, chercheuse de Fortinet FortiGuard Labs, a
analyse récentea révélé que l'attaque repose sur un cheval de Troie d'accès à distance (RAT). Il a la capacité d'extraire des informations et d'exécuter des commandes sur les appareils compromis.


Analyse du cheval de Troie Konni


Konni, connu pour son ciblage stratégique des cyberattaques en langue russe, a été mis à l'index.
cyberattaques en langue russeutilise des courriels de spear-phishing et des documents malveillants comme points d'entrée pour ses cyber-attaques. Les récentes attaques de logiciels malveillants basées sur des documentsdocumentées par Knowsec et ThreatMon, exploitent des vulnérabilités telles que la vulnérabilité de WinRAR (CVE-2023-38831) et utilisent des scripts Visual Basic obscurcis pour déployer le RAT Konni et un script Windows Batch pour collecter des données sur les machines infectées.


Modus Operandi


Les principaux objectifs de la
menaces de cybersécurité de Konni englobent l'exfiltration de données et les activités d'espionnage. Pour atteindre ces objectifs, l'acteur de la menace déploie une gamme variée de logiciels malveillants et d'outils, adaptant constamment ses tactiques pour échapper à la détection et à l'attribution. ThreatMon note que Konni est agile dans son approche, utilisant les vulnérabilités de vulnérabilités de WinRAR et des scripts obscurcis pour infiltrer et compromettre les systèmes.


Déroulement de la séquence d'attaque


La dernière observation de Fortinet fait état d'un document Word en russe contenant des macros, qui se fait passer pour un article sur les "évaluations occidentales des progrès de l'opération militaire spéciale". Lorsqu'elle est activée, la macro Visual Basic for Application (VBA) lance un script Batch intermédiaire, qui effectue des vérifications du système et contourne le contrôle des comptes d'utilisateurs (UAC). Cette séquence facilite finalement le déploiement d'un fichier DLL, intégrant des capacités de collecte d'informations et d'exfiltration.


Mécanique de la charge utile


La charge utile elle-même intègre un contournement de l'UAC et établit une communication cryptée avec un serveur de commande et de contrôle (C2). Ce système sophistiqué de
renseignements sophistiqués sur les cybermenaces permet à l'acteur de la menace d'exécuter des commandes privilégiées, ce qui représente un risque important pour l'intégrité du système compromis.


Les complexités internationales


Konni n'est pas le seul acteur de la menace nord-coréenne avec des groupes cybercriminels en langue russe.
groupes cybercriminels de langue russe dans sa ligne de mire. Des recherches menées en collaboration par Kaspersky, Microsoft et SentinelOne indiquent que ScarCruft (alias APT37) a également ciblé des sociétés commerciales et des sociétés d'ingénierie de missiles dans le pays. Cette révélation intervient juste après que Solar, la branche cybersécurité de l'entreprise publique russe de télécommunications Rostelecom, a révélé que des acteurs asiatiques, principalement la Chine et la Corée du Nord, étaient responsables de la majorité des attaques récentes contre les infrastructures critiques de la Russie.


La cybersécurité en Russie


La récente divulgation de Solar souligne la menace persistante que représente le groupe nord-coréen Lazarus au sein de la Fédération de Russie. Début novembre,
pirates Lazarus ont toujours accès à de nombreux systèmes russes, ce qui met en évidence les défis permanents auxquels est confrontée l'infrastructure de cybersécurité du pays.


Conclusion

 

L'évolution des tactiques de distribution de logiciels malveillants des acteurs de la menace comme Konni nécessitent une vigilance constante et des mesures de cybersécurité proactives. Alors que le paysage numérique continue de progresser, la collaboration entre les experts en cybersécurité et les organisations devient primordiale pour atténuer les risques posés par les campagnes sophistiquées de campagnes de cyberespionnage sophistiquées.

Maintenir des de solides pratiques de cybersécuritéy compris la détection et la prévention vigilantes des logiciels malveillants détection et la prévention des logiciels malveillants est impératif pour se prémunir contre les menaces évolutives telles que la campagne Konni, et garantir la résilience et l'intégrité des écosystèmes numériques.

Restez informé, restez en sécurité.

Les sources de cet article comprennent des articles dans The Hacker News et ISP.PAGE.

Résumé
Alerte au logiciel malveillant Konni : découverte de la menace en langue russe
Nom de l'article
Alerte au logiciel malveillant Konni : découverte de la menace en langue russe
Description
Restez informé sur la menace du logiciel malveillant Konni grâce à des documents en langue russe. Apprenez à protéger votre système et vos données dès maintenant !
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information