Erkennung von Angriffen der Konni-Gruppe: Nordkoreanische Hacker nutzen russischsprachige präparierte Word-Dokumente zur Verbreitung von RAT-Malware

Verteidiger beobachten einen neuen Phishing-Angriff, bei dem Gegner ein russischsprachiges Microsoft Word-Dokument nutzen, um Malware zu verbreiten, die sensible Daten von gezielten Windows-Instanzen extrahieren kann. Die hinter dieser offensiven Kampagne stehenden Hacker gehören zu einer nordkoreanischen Gruppe namens Konni, die Ähnlichkeiten mit einem Cyber-Spionage-Cluster aufweist, der als Kimsuky APT verfolgt wird. 

Erkennung von Konni-Gruppenangriffen

Die lang anhaltende Offensive der nordkoreanischen Konni APT-Gruppe, die sich auf die Verteilung von RAT-Malware und Datenexfiltration konzentriert, erinnert Verteidiger an die eskalierenden Risiken von Phishing-Angriffen, die in der Cyber-Bedrohungslandschaft kontinuierlich für Aufsehen sorgen. Die SOC Prime-Plattform bietet eine Reihe neuer Sigma-Regeln, entwickelt von Threat Bounty-Autor Zaw Min Htun, um die neueste Konni-Kampagne zu erkennen. Alle Erkennungsalgorithmen sind mit Dutzenden von SIEM-, EDR-, XDR- und Data Lake-Technologien kompatibel und in mehreren Technologien einsetzbar sowie mit dem MITRE ATT&CK® Framework:

Potenzielle Umgehung von Konni-Kampagnenaktivitäten durch die Erkennung von Registrierungs-Einstellungen (via registry_event)

Möglicher Malware-Ausführungsfluss von Konni-Kampagnen über Registrierungsschlüssel (via process_creation)

Diese Sigma-Regeln adressieren die Taktik der Verteidigungsumgehung mit der Technik Registrierung ändern  (T1112).

Verdächtiger Versuch einer Command-and-Control-Verbindung von Konni durch Identifikation der zugehörigen URL (via proxy) erkannt

Diese Erkennung adressiert die Command-and-Control-Taktik mit der entsprechenden Application Layer Protocol (T1071) Technik und der Subtechnik Webprotokolle (T1071.001).

Detektionsingenieure und Bedrohungsjäger, die danach streben, ihre Cybersicherheitsfähigkeiten zu beschleunigen, während sie ihre Expertise mit Kollegen teilen, sind eingeladen, den Reihen des SOC Prime Threat Bounty-Programmsbeizutreten. Um Ihrer Organisation zu helfen, sich vor Angriffen in Verbindung mit der Konni APT-Gruppe zu schützen, verlassen Sie sich auf die gesamte Sammlung relevanter Sigma-Regeln, ergänzt durch CTI und verwertbare Metadaten. Klicken Sie auf  Entdeckungen erkunden , um die Liste der SOC-Inhalte für Konni-bezogene Angriffe genauer zu betrachten. 

Entdeckungen erkunden

Analyse von Angriffen der nordkoreanischen Konni APT-Gruppe

FortiGuard Labs hat eine neuartige Phishing-Kampagne aufgedeckt , die einem nordkoreanischen Bedrohungsakteur namens Konni zugeschrieben wird, der ein schädliches russischsprachiges Word-Dokument nutzt, um Malware auf den betroffenen Systemen zu verbreiten. Die Konni APT-Gruppe ist bekannt für ihre ausgeklügelten Cyber-Spionagekampagnen, die auf Datenexfiltration abzielen. Gegner nutzen mehrere Malware-Beispiele und -Werkzeuge, um ihre Taktiken zur Umgehung der Erkennung kontinuierlich weiterzuentwickeln, was den Verteidigern wachsende Herausforderungen stellt. 

Es wurde beobachtet, dass die Konni-Gruppe die WinRAR-Sicherheitslücke (CVE-2023-38831) ausnutzt und Visual Basic-Skripte verschleiert, um Konni RAT und ein Windows Batch-Skript zu verbreiten, das darauf abzielt, sensible Daten von kompromittierten Maschinen zu stehlen. Die laufende Kampagne, die seit längerer Zeit aktiv ist, nutzt RAT-Malware, die in der Lage ist, sensible Daten zu extrahieren und Befehle auf betroffenen Geräten auszuführen. Hacker wenden mehrere Ansätze an, um initialen Zugang zu erlangen, Nutzlasten zu liefern und Persistenz innerhalb der Netzwerke der angezielten Opfer zu etablieren.

In der neuesten Kampagne nutzt Konni ein fortschrittliches Werkzeuginventar, das in ein schädliches Word-Dokument eingebettet ist, durch Batch-Skripte und DLL-Dateien. Die Nutzlast beinhaltet eine Umgehung der Benutzerkontensteuerung (UAC) und verschlüsselte Kommunikation mit einem C2-Server, wodurch Angreifer freie Hand haben, privilegierte Befehle auszuführen. 

Mit der zunehmenden Anzahl von Angriffen, die nordkoreanischen APT-Gruppen zugeschrieben werden, steigern globale Organisationen den Bedarf an wachsamen Cybersicherheitspraktiken und proaktiven Bedrohungserkennungsmaßnahmen. Durch die Nutzung von Uncoder AI, der branchenweit ersten IDE für Detection Engineering, können Sicherheitsingenieure hochresiliente Erkennungscodes schneller und intelligenter schreiben sowie in 65 Sicherheits-Sprachenformate in unter einer Sekunde übersetzen.