Ένας installer για ένα εργαλείο που πιθανότατα χρησιμοποιείται από τμήμα του Υπουργείου Εξωτερικών (MID) της Ρωσίας, έχει προσθέσει ένα backdoor για την διάδοση ενός trojan που ονομάζεται Konni RAT (επίσης γνωστό ως UpDog).
Δείτε επίσης: Konni malware: Διανέμεται μέσω phishing emails και στοχεύει Ρώσους χρήστες
Τα ευρήματα προέρχονται από τη γερμανική εταιρεία κυβερνοασφάλειας DCSO, η οποία συνδέει τη δραστηριότητα με κυβερνητικούς χάκερ του Δημοκρατικού Λαού της Κορέας (DPRK), που στοχεύουν τη Ρωσία.
Η ομάδα του Konni (επίσης γνωστή ως Opal Sleet, Osmium, ή TA406) έχει εδραιωμένο μοτίβο όσον αφορά την χρήση του RAT Konni κατά ρωσικών οντοτήτων, με τον απειλητικό παράγοντα να συνδέεται επίσης με επιθέσεις εναντίον του MID, τουλάχιστον από τον Οκτώβριο του 2021.
Τον Νοέμβριο του 2023, η Fortinet FortiGuard Labs αποκάλυψε τη χρήση ρωσόφωνων εγγράφων του Microsoft Word για την παράδοση κακόβουλου λογισμικού το οποίο μπορεί να συλλέγει ευαίσθητες πληροφορίες από μολυσμένους υπολογιστές Windows.
Η DCSO ανέφερε ότι η τοποθέτηση του Konni RAT μέσα στους εγκαταστάτες λογισμικού είναι μια τεχνική που είχε προηγουμένως υιοθετηθεί από την ομάδα τον Οκτώβριο του 2023, όταν εντοπίστηκε ότι χρησιμοποιούσε ένα ρωσικό λογισμικό φορολογικών δηλώσεων με την ονομασία Spravki BK με τοποθετημένο backdoor για τη διάδοση του trojan.
“Σε αυτήν την περίπτωση, ο backdoored installer φαίνεται να αφορά ένα εργαλείο με την ονομασία ‘Statistika KZU’ (Cтатистика КЗУ),” ανέφερε η εταιρεία με έδρα το Βερολίνο.
Δείτε ακόμα: Google: Το WinRAR εκμεταλλεύεται από κρατικούς χάκερς
Διαδικασία μόλυνσης με το Konni RAT
Ο μολυσμένος installer είναι ένα αρχείο MSI το οποίο, όταν εκκινείται, ξεκινά την ακολουθία μόλυνσης για να επικοινωνήσει με έναν διακομιστή ελέγχου και εντολών (C2) για να περιμένει περαιτέρω οδηγίες.
Το Remote Access Trojan, το οποίο διαθέτει δυνατότητες για μεταφορά αρχείων και εκτέλεση εντολών, πιστεύεται ότι χρησιμοποιήθηκε από το 2014, ενώ έχει εκμεταλλευτεί και από άλλους κακόβουλους παράγοντες από τη Βόρεια Κορέα, γνωστούς ως Kimsuky και ScarCruft (επίσης γνωστοί ως APT37).
Προς το παρόν δεν είναι σαφές το πώς οι κακόβουλοι παράγοντες κατάφεραν να αποκτήσουν τον installer, καθώς δεν είναι δημόσια διαθέσιμος. Ωστόσο, υπάρχει η πιθανότητα, η μακρά ιστορία των χειρισμών κατασκοπείας που στοχεύουν τη Ρωσία να τους βοήθησε να αναγνωρίσουν εργαλεία με τα οποία εγκατέστησαν το Konni RAT.
Αν και η στοχοποίηση της Ρωσίας από τη Βόρεια Κορέα δεν είναι κάτι καινούργιο, η εξέλιξη αυτή έρχεται στο πλαίσιο μιας αυξανόμενης γεωπολιτικής προσέγγισης μεταξύ των δύο χωρών. Τα κρατικά μέσα ενημέρωσης ανέφεραν αυτήν την εβδομάδα ότι ο ρώσος πρόεδρος Βλαντίμιρ Πούτιν χάρισε στον ηγέτη Κιμ Γιονγκ Ουν ένα πολυτελές ρωσικής κατασκευής αυτοκίνητο.
Δείτε επίσης: Το Remcos RAT διανέμεται μέσω παιχνιδιών για ενήλικες
Πώς λειτουργούν τα Remote Access Trojans;
Τα Remote Access Trojans (RATs), όπως το Konni RAT που στόχευσε τη Ρωσία, είναι κακόβουλα λογισμικά που επιτρέπουν σε χάκερς να αποκτήσουν πρόσβαση και να ελέγξουν έναν υπολογιστή από απόσταση. Το RAT εγκαθίσταται συνήθως χωρίς τη γνώση του χρήστη, συχνά μέσω ενός φαινομενικά ακίνδυνου λογισμικού ή ενός συνημμένου email. Όταν το RAT εγκαθίσταται, ο επιτιθέμενος μπορεί να εκτελέσει μια σειρά ενεργειών, όπως η λήψη προσωπικών δεδομένων, η εγκατάσταση άλλου κακόβουλου λογισμικού, η εγγραφή πληκτρολογήσεων ή η λήψη εικόνων από την κάμερα του υπολογιστή.Τα RATs είναι σχεδιασμένα για να παραμείνουν κρυφά από τον χρήστη και το λογισμικό ασφαλείας. Μπορούν να αποκρύψουν την παρουσία τους, να αλλάξουν τα ονόματα των αρχείων και να παρακάμψουν τους ελέγχους ασφαλείας. Για να προστατευθείτε από τα RATs, είναι σημαντικό να διατηρείτε το λογισμικό ασφαλείας του υπολογιστή σας ενημερωμένο, να αποφεύγετε τη λήψη αρχείων από μη αξιόπιστες πηγές και να είστε προσεκτικοί με τα email και τα συνημμένα που λαμβάνετε.
Πηγή: thehackernews
