Rus Hükümeti Yazılımı, Konni RAT Kötü Amaçlı Yazılımını Dağıtmak İçin Arka Kapıya Açıldı


22 Şubat 2024Haber odasıKötü Amaçlı Yazılım / Siber Casusluk

Konni RAT Kötü Amaçlı Yazılım

Muhtemelen Dışişleri Bakanlığı Rusya Konsolosluk Departmanı (MID) tarafından kullanılan bir aracın yükleyicisine, adlı bir uzaktan erişim truva atı göndermek üzere arka kapı açıldı. Konni RAT (diğer adıyla UpDog).

Bulgular, faaliyetin Rusya’yı hedef alan Kore Demokratik Halk Cumhuriyeti (DPRK) bağlantı noktası aktörlerinden kaynaklandığını öne süren Alman siber güvenlik şirketi DCSO’dan geliyor.

Konni (diğer adıyla Opal Sleet, Osmium veya TA406) faaliyet kümesi, Konni RAT’ı Rus kuruluşlarına karşı konuşlandırma konusunda yerleşik bir modele sahiptir ve tehdit aktörü aynı zamanda en azından Ekim 2021’den bu yana MID’ye yönelik saldırılarla da bağlantılıdır.

Kasım 2023’te Fortinet FortiGuard Laboratuvarları, tehlikeye atılmış Windows ana bilgisayarlarından hassas bilgileri toplayabilen kötü amaçlı yazılım dağıtmak için Rusça Microsoft Word belgelerinin kullanıldığını ortaya çıkardı.

Siber güvenlik

DCSO, Konni RAT’ın yazılım yükleyicilerinde paketlenmesinin bir teknik olduğunu söyledi önceden kabul edilmiş Grup tarafından Ekim 2023’te Truva Atı’nı dağıtmak için Spravki BK adlı arka kapılı bir Rus vergi beyannamesi yazılımından yararlanıldığı tespit edildi.

Berlin merkezli şirket, “Bu örnekte, arka kapılı yükleyicinin ‘Statistika KZU’ (Cтатистика КЗУ) adlı bir araç için olduğu görülüyor” dedi.

Konni RAT Kötü Amaçlı Yazılım

“Yükleyiciyle birlikte verilen yükleme yolları, dosya meta verileri ve kullanım kılavuzlarına dayanarak, […] Yazılım, Rusya Dışişleri Bakanlığı (MID) bünyesinde dahili kullanım için, özellikle de yıllık rapor dosyalarının yurtdışı konsolosluklardan (КЗУ — консульские загранучреждения) güvenli bir kanal aracılığıyla MID Konsolosluk Departmanına iletilmesi için tasarlanmıştır.”

Truva atı haline getirilmiş yükleyici, başlatıldığında daha sonraki talimatları beklemek üzere bir komut ve kontrol (C2) sunucusuyla bağlantı kurmak için bulaşma dizisini başlatan bir MSI dosyasıdır.

Konni RAT Kötü Amaçlı Yazılım

Dosya aktarımı ve komut yürütme yetenekleriyle birlikte gelen uzaktan erişim truva atının 2014 gibi erken bir tarihte kullanıma sunulduğuna ve ayrıca Kimsuky ve ScarCruft (diğer adıyla APT37) olarak bilinen diğer Kuzey Koreli tehdit aktörleri tarafından da kullanıldığına inanılıyor.

Kamuya açık olmadığı göz önüne alındığında, tehdit aktörlerinin yükleyiciyi nasıl ele geçirdiği şu anda belli değil. Ancak Rusya’yı hedef alan casusluk operasyonlarının uzun geçmişinin, daha sonraki saldırılar için olası araçları belirlemelerine yardımcı olabileceğinden şüpheleniliyor.

Siber güvenlik

Kuzey Kore’nin Rusya’yı hedeflemesi yeni olmasa da bu gelişme, iki ülke arasındaki jeopolitik yakınlığın arttığı bir dönemde ortaya çıktı. Hermit Kingdom devlet medyası bu hafta Rusya Devlet Başkanı Vladimir Putin’in lider Kim Jong Un’a Rus yapımı lüks bir araba verdiğini bildirdi.

“Bir dereceye kadar bu bir sürpriz olmamalı; artan stratejik yakınlığın, Kuzey Kore’nin Rus dış politika planlamasını değerlendirme ve doğrulama ihtiyacının devam etmesi nedeniyle, mevcut Kuzey Kore toplama ihtiyaçlarının tamamen geçersiz kılınması beklenemez. Hedefler,” dedi DCSO.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link