Βορειοκορεάτες χάκερ προσπαθούν να κλέψουν ευαίσθητα δεδομένα από ρωσικούς στόχους χρησιμοποιώντας hacked έγγραφα του Microsoft Word, όπως ισχυρίζονται ειδικοί.
Αυτά είναι τα ευρήματα της ερευνήτριας της Fortinet, Cara Lin, η οποία παρατήρησε μια ομάδα που ονομάζεται Konni να προσπαθεί να παραδώσει ένα κακόβουλο έγγραφο της Microsoft στη ρωσική γλώσσα στα θύματά της.
Το κακόβουλο λογισμικό, όπως είναι αναμενόμενο, έχει τη μορφή μακροεντολής. Αυτό το κείμενο θα εκκινήσει ένα ενδιάμεσο κείμενο Batch που θα ελέγξει το σύστημα, θα παρακάμψει τις ρυθμίσεις User Account Control (UAC) και, τέλος, θα αναπτύξει ένα infostealing DLL.
Φίλος ή εχθρός;
«Αυτή η εκστρατεία βασίζεται σε ένα trojan απομακρυσμένης πρόσβασης (RAT) ικανό να εξάγει πληροφορίες και να εκτελεί εντολές σε συσκευές που έχουν παραβιαστεί», αναφέρει h Lin στην έκθεση. «Το ωφέλιμο φορτίο ενσωματώνει παράκαμψη του UAC και κρυπτογραφημένη επικοινωνία με έναν διακομιστή C2, επιτρέποντας στον δράστη της απειλής να εκτελεί προνομιακές εντολές» προσθέτει.
Το έγγραφο που διανέμεται φέρει ένα άρθρο στη ρωσική γλώσσα, το οποίο φέρεται να αφορά «δυτικές εκτιμήσεις για την πρόοδο της ειδικής στρατιωτικής επιχείρησης».
Στο κείμενό του, το The Hacker News αναφέρει ότι η ομάδα Konni είναι “αξιοσημείωτη” επειδή έβαλε στο στόχαστρό της στη Ρωσία.
Τις περισσότερες φορές, η ομάδα χρησιμοποιούσε spear-phishing emails και κακόβουλα έγγραφα προκειμένου να αποκτήσει πρόσβαση σε τερματικά σημεία-στόχους. Οι προηγούμενες επιθέσεις, που εντοπίστηκαν από τους ερευνητές κυβερνοασφάλειας Knowsec και ThreatMon, έκαναν κατάχρηση μιας ευπάθειας στο WinRAR (CVE-2023-38831). «Οι πρωταρχικοί στόχοι της ομάδας Konni περιλαμβάνουν την εκροή δεδομένων και τη διεξαγωγή δραστηριοτήτων κατασκοπείας», δήλωσε η ThreatMon. «Για την επίτευξη αυτών των στόχων, η ομάδα χρησιμοποιεί ένα ευρύ φάσμα κακόβουλου λογισμικού και εργαλείων, προσαρμόζοντας συχνά τις τακτικές της για να αποφύγει την ανίχνευση και την απόδοση».
Αυτή δεν είναι η πρώτη φορά που βλέπουμε Βορειοκορεάτες χάκερ να στοχεύουν ρωσικές εταιρείες. Το περασμένο καλοκαίρι, δύο ξεχωριστές ομάδες – η ScarCruft και η Lazarus Group, επιτέθηκαν στην NPO Mashinostroyenia, μια σημαντική ρωσική εταιρεία πυραυλομηχανικής. Ενώ η ScarCruft κατάφερε να θέσει σε κίνδυνο “ευαίσθητες εσωτερικές υποδομές πληροφορικής”, συμπεριλαμβανομένου ενός διακομιστή ηλεκτρονικού ταχυδρομείου, η Lazarus χρησιμοποίησε μια κερκόπορτα των Windows γνωστή ως OpenCarrot.