Um instalador para uma ferramenta provavelmente usada pelo Departamento Consular Russo do Ministério de Relações Exteriores (MID) foi invadido para entregar um trojan de acesso remoto chamado Konni RAT (também conhecido como UpDog).
Os dados vêm da empresa alemã de cibersegurança DCSO, que ligou a atividade à origem dos atores do eixo da República Popular Democrática da Coreia (RPDC) visando a Rússia.
O cluster de atividade Konni (também conhecido como Opal Sleet, Osmium ou TA406) tem um padrão estabelecido de implantação do Konni RAT contra entidades russas, com o agente de ameaça também ligado a ataques direcionados contra o MID pelo menos desde outubro de 2021.
Em novembro de 2023, a Fortinet FortiGuard Labs revelou o uso de documentos em russo do Microsoft Word para entregar malware capaz de colher informações sensíveis de hosts Windows comprometidos.
A DCSO afirmou que a embalagem do Konni RAT em instaladores de software é uma técnica adotada previamente pelo grupo em outubro de 2023, quando foi descoberto que aproveitava um software fiscal russo comprometido chamado Spravki BK para distribuir o trojan.
"Nesta instância, o instalador invadido parece ser para uma ferramenta chamada 'Statistika KZU' (Статистика КЗУ)", disse a empresa com sede em Berlim.
"Com base em caminhos de instalação, metadados de arquivo e manuais do usuário incluídos no instalador, [...] o software é destinado ao uso interno no Ministério russo de Relações Exteriores (MID), especificamente para a transmissão de arquivos de relatório anual das postagens consulares no exterior (КЗУ - консульские загранучреждения) para o Departamento Consular do MID via um canal seguro."
O instalador trojanizado é um arquivo MSI que, quando lançado, inicia a sequência de infecção para estabelecer contato com um servidor de comando e controle (C2) para aguardar outras instruções.
O trojan de acesso remoto, que possui capacidades para transferência de arquivos e execução de comandos, acredita-se ter sido posto em uso desde 2014, e também foi utilizado por outros agentes de ameaça norte-coreanos conhecidos como Kimsuky e ScarCruft (também conhecido como APT37).
Atualmente, não está claro como os agentes de ameaça conseguiram obter o instalador, uma vez que ele não é publicamente obtido.
Mas suspeita-se que a longa história de operações de espionagem visando a Rússia pode ter ajudado a identificar ferramentas futuras para ataques subsequentes.
Embora o alvo da Coreia do Norte na Rússia não seja novidade, o desenvolvimento ocorre em meio a uma crescente proximidade geopolítica entre os dois países.
A mídia estatal do Reino Eremita noticiou nesta semana que o presidente russo Vladimir Putin presenteou o líder Kim Jong Un com um carro de luxo fabricado na Rússia.
"Em certa medida, isso não deveria ser uma surpresa; o aumento da proximidade estratégica não seria esperado para reescrever completamente as necessidades de coleta existentes da RPDC, com uma necessidade contínua por parte da RPDC de poder avaliar e verificar o planejamento e os objetivos da política externa russa", disse a DCSO.
Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...