ClickCease Attaque du logiciel malveillant Konni RAT : Porte dérobée d'un logiciel du gouvernement russe

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Attaque du logiciel malveillant Konni RAT : Porte dérobée d'un logiciel du gouvernement russe

par Wajahat Raja

Le 6 février 2024 - L'équipe d'experts de TuxCare

Dans une révélation récentela société allemande de cybersécurité DCSO a découvert l'attaque du logiciel malveillant Konni RAT malware attack, qui implique le déploiement d'un cheval de Troie d'accès à distance. Les attaquants ont ingénieusement exploité un programme d'installation d'un outil associé au département consulaire russe du ministère des affaires étrangères (MID). Cet outil, appelé "Statistika KZU", s'est avéré avoir été piraté, ce qui a conduit à la livraison du cheval de Troie "Konni". Konni RAT.

Dans ce blog, nous allons nous pencher sur les détails complexes de l'attaque du logiciel malveillant Konni RAT. malware Konni RATqui met en lumière ses origines, son mode opératoire et ses implications pour la cybersécurité.

 

Origine et attribution de l'attaque du logiciel malveillant Konni RAT


L'origine de cette cyberactivité a été retracée jusqu'à des acteurs associés à la République populaire démocratique de Corée (RPDC), communément appelée Corée du Nord. Il est remarquable que ces acteurs liés à la RPDC aient ciblé la Russie, en particulier le département consulaire russe. Le groupe d'activités Konni, également connu sous le nom d'Opal Sleet, Osmium ou TA406, a déjà déployé le RAT Konni contre des entités russes. 

L'acteur de la menace est lié à des attaques contre la MID depuis au moins octobre 2021. Cette révélation fait suite à la précédente découverte de Fortinet FortiGuard Labs en novembre 2023, où des documents Microsoft Word en langue russe ont été utilisés pour distribuer des logiciels malveillants capables de récolter des informations sensibles à partir d'hôtes Windows compromis.


Le logiciel malveillant Konni RAT est déployé par le biais d'une porte dérobée d'un logiciel du gouvernement russe


Le DCSO a mis en évidence la technique des attaquants consistant à intégrer le RAT Konni dans des programmes d'installation de logiciels. Cette technique avait déjà été observée en octobre 2023, lorsqu'un logiciel de déclaration d'impôts russe, Spravki BK, avait été utilisé dans le même but. 

Dans ce cas, le programme d'installation compromis était associé au logiciel malveillant Statistika KZU destiné à un usage interne au sein du MID russe. Plus précisément, l'outil facilitait le transfert des fichiers de rapports annuels des postes consulaires à l'étranger vers le département consulaire du MID par le biais d'un canal sécurisé.


Séquence d'infection


Le programme d'installation trojanisé, identifié comme un fichier MSI, déclenche une séquence d'infection dès son lancement. Cette séquence établit un contact avec un serveur de commande et de contrôle (C2), dans l'attente d'instructions supplémentaires de la part des attaquants. Les capacités du RAT
RAT Konni (exécution de commandes, transfert de fichiers, espionnage) sont opérationnelles depuis au moins 2014. Il est également connu pour être utilisé par d'autres acteurs de la menace nord-coréenne. acteurs de la menace nord-coréennedont Kimsuky et ScarCruft (APT37).


Source, motivation et implications géopolitiques


La source de la porte dérobée du
logiciel du gouvernement russe avec porte dérobée du gouvernement russe n'est pas claire, car elle n'est pas accessible au public. Toutefois, on soupçonne que l'historique des opérations d'espionnage visant la Russie a pu permettre aux auteurs de la menace d'identifier des outils potentiels pour des attaques ultérieures.

Si le fait que la Corée du Nord s'en prenne à la Russie n'est pas un phénomène nouveau, le moment choisi pour cette cybermenace est remarquable. Elle intervient dans un contexte de proximité géopolitique croissante entre les deux pays. Les médias d'État nord-coréens ont récemment révélé que le président russe Vladimir Poutine avait offert au dirigeant Kim Jong Un une voiture de luxe fabriquée en Russie. 

La recherche du DCSO CyTec suggèrent qu'en dépit de liens stratégiques croissants, la Corée du Nord reste très intéressée par l'évaluation et la vérification de la planification et des objectifs de la politique étrangère russe. La découverte du logiciel malveillant logiciel malveillant Konni RAT porte dérobée du gouvernement russe met en évidence les tactiques sophistiquées employées par les acteurs de la cybermenace pour compromettre les systèmes sensibles.


Conclusion

 

Les cyberattaques nord-coréennes continuent de faire peser de lourdes menaces sur l'infrastructure mondiale de cybersécurité. La découverte de la RAT Konni, déployée par l'intermédiaire d'un outil piraté du département consulaire russe, souligne l'évolution du paysage des cybermenaces et des complexités géopolitiques.

Le logiciel malveillant Konni RAT déployé à l'aide d'un logiciel du gouvernement russe illustre la sophistication croissante des cybermenaces ciblant les systèmes gouvernementaux. Les cybermenaces continuant à dépasser les frontières, les organisations doivent rester vigilantes et adopter des des mesures de cybersécurité robustes pour protéger les informations sensibles et assurer la continuité des activités.

Les sources de cet article comprennent des articles dans The Hacker News et Cyber Security News.

Résumé
Attaque du logiciel malveillant Konni RAT : Porte dérobée d'un logiciel du gouvernement russe
Nom de l'article
Attaque du logiciel malveillant Konni RAT : Porte dérobée d'un logiciel du gouvernement russe
Description
Découvrez les dernières informations sur l'attaque du logiciel malveillant Konni RAT. Restez informé des brèches dans les portes dérobées de cybersécurité et améliorez votre posture de sécurité.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !