Um novo ataque de phishing foi observado utilizando um documento do Microsoft Word em russo para entregar malware capaz de colher informações sensíveis de hosts do Windows comprometidos.
A atividade foi atribuída a um ator de ameaça chamado Konni, que se supõe ter coincidências com um grupo norte-coreano conhecido como Kimsuky (também conhecido como APT43).
"Essa campanha depende de um trojan de acesso remoto (RAT) capaz de extrair informações e executar comandos em dispositivos comprometidos", disse a pesquisadora da Fortinet FortiGuard Labs, Cara Lin, em uma análise publicada esta semana.
O grupo de espionagem cibernética é notável por seu direcionamento à Rússia, com o modus operandi envolvendo o uso de emails de spear-phishing e documentos maliciosos como pontos de entrada para seus ataques.
Ataques recentes documentados por Knowsec e ThreatMon utilizaram a vulnerabilidade do WinRAR (
CVE-2023-38831
) e scripts do Visual Basic ofuscados para instalar o Konni RAT e um script do Windows Batch capaz de coletar dados das máquinas infectadas.
"Os objetivos primários do Konni incluem a exfiltração de dados e a condução de atividades de espionagem", disse a ThreatMon.
"Para alcançar esses objetivos, o grupo emprega uma ampla variedade de malwares e ferramentas, adaptando frequentemente suas táticas para evitar detecção e atribuição."
A última sequência de ataque observada pela Fortinet envolve um documento do Word com macro que, quando ativado, exibe um artigo em russo que supostamente fala sobre "Avaliações Ocidentais do Progresso da Operação Militar Especial".
A macro do Visual Basic for Application (VBA) então executa um script Batch interino que realiza verificações do sistema, contornando o Controle de Conta de Usuário (UAC) e, por fim, prepara o caminho para o deployment de um arquivo DLL que possui capacidades de coleta e exfiltração de informações.
"A payload incorpora um bypass do UAC e comunicação criptografada com um servidor C2, permitindo que o ator de ameaças execute comandos privilegiados", disse Lin.
Konni está longe de ser o único ator de ameaça norte-coreano a a escolher a Rússia.
Evidências coletadas pela Kaspersky, Microsoft e SentinelOne mostram que o coletivo adversário conhecido como ScarCruft (também conhecido como APT37) também alvejou empresas de comércio e firmas de engenharia de mísseis localizadas no país.
A divulgação também chega menos de duas semanas depois que a Solar, braço de cibersegurança da estatal russa de telecomunicações Rostelecom, revelou que atores de ameaças da Ásia - principalmente da China e da Coreia do Norte - responderam por a maioria dos ataques à infraestrutura do país.
"O grupo norte-coreano Lazarus também é muito ativo em território da Federação Russa", disse a empresa.
"Desde o início de novembro, os hackers do Lazarus ainda têm acesso a uma série de sistemas russos."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...