Directoratul Naţional de Securitate Cibernetică avertizează asupra unei campanii phishing în desfăşurare, atribuită grupării Konni asociată cu actorii statali nord coreeni
:format(webp):quality(80)/http://www.b1tv.ro/wp-content/uploads/2024/11/hackeri.jpg)
Directoratul Naţional de Securitate Cibernetică (DNSC) a avertizat asupra unei noi campanii de tip phishing aflată în plină în desfăşurare, lansată de gruparea de hackeri Konni asociată cu Coreea de Nord.
În cadrul campaniei identificate, atacatorii urmăresc infectarea inițială a utilizatorilor vizați prin atașarea unor fișiere malițioase de tip #LNK în email-urile transmise. Ulterior, malware-ul este descărcat folosind inclusiv infrastructura cibernetică a unor furnizori de servicii de tip cloud de încredere în relația cu victimele (i.e., #Dropbox, #GoogleDrive).
Analiza atacurilor cibernetice recente atribuite grupului #NK #Konni a evidențiat utilizarea fișierelor de tip #LNK pentru a distribui malware-ul #AsyncRAT. Această metodă implică folosirea fișierelor de comandă rapidă specifice sistemului de operare #Windows pentru a executa comenzi malițioase fără a necesita macrocomenzi, o tehnică adoptată pe scară largă de atacatori pentru a evita măsurile de securitate care blochează macrocomenzile în documentele specifice suitei Office a companiei Microsoft.
Specific, odată accesate de către utilizatorii vizați, fișierele malițioase execută un script #PowerShell ascuns în structura acestora, care descarcă și deschide un document fals pentru a distrage atenția, în timp ce instalează malware-ul #AsyncRAT pe sistemul victimei.
Pentru descărcarea și instalarea payload-urilor malițioase în diferite etape ale atacului, atacatorii utilizează atât servere proxy de comandă și control (C&C), cât și soluții de la furnizori de servicii de tip #cloud cunoscute, precum #Dropbox și #GoogleDrive.
#AsyncRAT este un troian de acces de la distanță care permite atacatorilor să controleze sistemele infectate, să colecteze date și să execute comenzi arbitrare. În campaniile recente, s-a observat că informațiile C&C nu mai sunt codificate direct în malware, ci sunt transmise ca parametri în momentul executării, ceea ce îngreunează detectarea și analizarea acestuia.
#Konni, o grupare nord-coreeană activă în spațiul cibernetic încă din anul 2014, folosește tehnici precum phishing și spear-phishing pentru a ataca cu preponderență sistemele informatice din Coreea de Sud și Rusia, fiind asociată uneori cu gruparea #Kimsuky asociată serviciilor de informații militare din #NK, responsabilă pentru atacuri lansate inclusiv în SUA și Europa.
De asemenea, atacurile lansate de gruparea #Konni vizează în principal exfiltrarea de date și informații din sistemele vizate, metodele de operare în spațiul cibernetic prezentând multiple similarități cu cele utilizate de către actorii statali #APT37 și #Lazarus Group