Ερευνητές ασφαλείας ανακάλυψαν μια νέα καμπάνια που στοχεύει χώρες στην Ε.Ε. με το Konni RAT και φαίνεται να συνδέεται με τη hacking ομάδα APT37, μια ομάδα που αποτελείται από Βορειοκορεάτες hackers. Η ομάδα στοχεύει μεγάλους οργανισμούς στην Τσεχική Δημοκρατία, την Πολωνία και άλλες ευρωπαϊκές χώρες.
Το κακόβουλο λογισμικό Konni είναι ένα trojan που επιτρέπει την απομακρυσμένη πρόσβαση (RAT) σε συστήματα και είναι ικανό να δημιουργήσει persistence και να αποκτήσει περισσότερα προνόμια στον κεντρικό υπολογιστή.
Δείτε επίσης: Επιθέσεις με το QBot κάνουν κατάχρηση του Windows Calculator
Το Konni RAT έχει συνδεθεί με κυβερνοεπιθέσεις της Βόρειας Κορέας από το 2014, και πιο πρόσφατα, εμφανίστηκε σε μια spear-phishing εκστρατεία ψαρέματος με στόχο το ρωσικό Υπουργείο Εξωτερικών.
Η τελευταία εκστρατεία (που βρίσκεται σε εξέλιξη) παρατηρήθηκε και αναλύθηκε από ερευνητές της Securonix, οι οποίοι την αποκαλούν STIFF#BIZON. Οι τακτικές και οι μέθοδοι που χρησιμοποιούν οι hackers ταιριάζουν με αυτές που χρησιμοποιεί μια ομάδα APT (advanced persistent threat).
Konni RAT: Νέα καμπάνια STIFF#BIZON
Η επίθεση ξεκινά με ένα phishing email με συνημμένο αρχείο που περιέχει ένα έγγραφο του Word (missile.docx) και ένα Windows Shortcut file (_weapons.doc.lnk.lnk).
Όταν ανοίγει το αρχείο LNK, ο κώδικας εκτελείται για να βρει ένα base64-encoded PowerShell script στο αρχείο DOCX, με σκοπό να δημιουργήσει επικοινωνία C2 και να κατεβάσει δύο επιπλέον αρχεία, τα ‘weapons.doc’ και ‘wp.vbs’.
Το ληφθέν έγγραφο είναι ένα δόλωμα. Υποτίθεται ότι είναι μια αναφορά από την Olga Bozheva, μια Ρωσίδα πολεμική ανταποκρίτρια. Την ίδια στιγμή, το αρχείο VBS εκτελείται κρυφά στο παρασκήνιο για να δημιουργήσει ένα scheduled task στον κεντρικό υπολογιστή. Σε αυτή τη φάση της επίθεσης, οι επιτιθέμενοι έχουν ήδη φορτώσει το KonniRAT και έχουν δημιουργήσει ένα data exchange link, ενώ είναι σε θέση να εκτελέσουν τις ακόλουθες ενέργειες:
Capture.net.exe: Λήψη screenshots με τη χρήση του Win32 GDI API και εξαγωγή τους σε μορφή GZIP.
chkey.net.exe: Εξαγωγή state keys που είναι αποθηκευμένα στο αρχείο Local State για αποκρυπτογράφηση cookie database, κάτι που είναι χρήσιμο για την παράκαμψη MFA.
pull.net.exe: Εξαγωγή αποθηκευμένων credentials από τα προγράμματα περιήγησης του θύματος.
shell.net.exe: Χρήση ενός remote interactive shell που μπορεί να εκτελεί εντολές κάθε 10 δευτερόλεπτα.
Στο τέταρτο στάδιο της επίθεσης, οι Βορειοκορεάτες hackers κατεβάζουν πρόσθετα αρχεία που υποστηρίζουν τη λειτουργία του τροποποιημένου δείγματος Konni RAT, φέρνοντάς τα ως συμπιεσμένα αρχεία “.cab”.
Δείτε επίσης: Πρώην manager της Coinbase κατηγορείται στην πρώτη δικαστική υπόθεση crypto
Αυτά περιλαμβάνουν DLL που αντικαθιστούν νόμιμα Windows service libraries, όπως το “wpcsvc” στο System32, που χρησιμοποιείται για την εκτέλεση εντολών στο λειτουργικό σύστημα με υψηλότερα δικαιώματα χρήστη.
Πιθανοί σύνδεσμοι με την ομάδα APT28
Ενώ οι τακτικές και το σύνολο εργαλείων παραπέμπουν στην ομάδα APT37, η Securonix υπογραμμίζει την πιθανότητα η APT28 (γνωστή και ως FancyBear) να βρίσκεται πίσω από την καμπάνια STIFF#BIZON.
“Φαίνεται να υπάρχει μια άμεση συσχέτιση μεταξύ των διευθύνσεων IP, του παρόχου φιλοξενίας και των hostnames μεταξύ αυτής της επίθεσης και των επιθέσεων που έχουμε δει στο παρελθόν από τη FancyBear/APT28“, καταλήγει η έκθεση.
Δείτε επίσης: Chrome zero-day ευπάθεια χρησιμοποιήθηκε για τη μόλυνση δημοσιογράφων με spyware
Οι ομάδες απειλών που χρηματοδοτούνται από το κράτος συχνά προσπαθούν να μιμηθούν τις τεχνικές άλλων ικανών APT για να κρύψουν τα ίχνη τους και να παραπλανήσουν τους αναλυτές απειλών, επομένως οι πιθανότητες εσφαλμένης απόδοσης, σε αυτήν την περίπτωση, είναι μεγάλες.
Πηγή: www.bleepingcomputer.com