Tehlike altındaki Windows ana bilgisayarlarından hassas bilgileri toplayabilen kötü amaçlı yazılım dağıtmak için Rusça Microsoft Word belgesinden yararlanan yeni bir kimlik avı saldırısı gözlemlendi.
Faaliyet, adlı bir tehdit aktörüne atfedildi ConnieKimsuky (diğer adıyla APT43) olarak takip edilen Kuzey Kore kümesiyle örtüşmeleri paylaştığı değerlendiriliyor.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, bu hafta yayınlanan bir analizde “Bu kampanya, bilgileri çıkarabilen ve ele geçirilen cihazlarda komutları yürütebilen bir uzaktan erişim trojanına (RAT) dayanıyor.” dedi.
Siber casusluk grubu, hedef odaklı kimlik avı e-postalarının ve kötü amaçlı belgelerin saldırıları için giriş noktaları olarak kullanılmasını içeren çalışma yöntemiyle Rusya’yı hedeflemesiyle dikkat çekiyor.
Knowsec ve ThreatMon tarafından belgelenen son saldırılar, WinRAR güvenlik açığından (CVE-2023-38831) faydalanmanın yanı sıra, Konni RAT’ı ve virüslü makinelerden veri toplayabilen bir Windows Batch komut dosyasını düşürmek için Visual Basic komut dosyalarını gizledi.
ThreatMon, “Konni’nin öncelikli hedefleri arasında veri sızdırma ve casusluk faaliyetleri yürütmek yer alıyor” dedi. “Bu hedeflere ulaşmak için grup, çok çeşitli kötü amaçlı yazılım ve araçlar kullanıyor ve taktiklerini sık sık tespit edilmekten ve ilişkilendirilmekten kaçınmak için uyarlıyor.”
Fortinet tarafından gözlemlenen son saldırı dizisi, etkinleştirildiğinde “Özel Askeri Operasyonun İlerlemesine İlişkin Batılı Değerlendirmeler” hakkında olduğu iddia edilen Rusça bir makale görüntüleyen makro bağlantılı bir Word belgesini içeriyor.
Visual Basic for Application (VBA) makrosu daha sonra sistem kontrolleri gerçekleştiren, Kullanıcı Hesabı Denetimi’ni (UAC) atlayan ve sonuçta bilgi toplama ve sızma yeteneklerini içeren bir DLL dosyasının dağıtımının önünü açan geçici bir Toplu komut dosyasını başlatmaya devam eder.
Lin, “Yük, bir UAC bypass’ı ve bir C2 sunucusuyla şifreli iletişimi birleştirerek tehdit aktörünün ayrıcalıklı komutları yürütmesine olanak tanıyor” dedi.
Konni, Rusya’yı öne çıkaran tek Kuzey Koreli tehdit aktörü değil. Kaspersky, Microsoft ve SentinelOne tarafından toplanan kanıtlar, ScarCruft (diğer adıyla APT37) olarak adlandırılan düşman grubunun aynı zamanda ülkede bulunan ticaret şirketlerini ve füze mühendisliği firmalarını da hedef aldığını gösteriyor.
Açıklama ayrıca, Rus devlete ait telekom şirketi Rostelecom’un siber güvenlik kolu Solar’ın, Asya’daki tehdit aktörlerinin (özellikle Çin ve Kuzey Kore’den gelenlerin) ülkenin altyapısına yönelik saldırıların çoğunluğundan sorumlu olduğunu açıklamasından iki haftadan kısa bir süre sonra geldi.
Şirket, “Kuzey Koreli Lazarus grubu Rusya Federasyonu topraklarında da oldukça aktif” dedi. “Kasım ayı başı itibariyle Lazarus bilgisayar korsanlarının hâlâ bazı Rus sistemlerine erişimi var.”