Detección de APT37: Hackers de Corea del Norte distribuyen Konni RAT, apuntan a organizaciones en Chequia y Polonia
Tabla de contenidos:
The APT37, también conocido como Reaper, Ricochet Chollima y ScarCruft, es un grupo de hackers afiliado a Corea del Norte. Los hackers han estado activos desde al menos 2012, principalmente atacando organizaciones en los sectores público y privado en Corea del Sur. A partir de 2017, los adversarios expandieron su objetivo, buscando ahora víctimas a nivel mundial. Los sectores afectados incluyen, pero no se limitan a, manufactura, electrónica, atención médica e industrias automotrices..
En la campaña más reciente rastreada como STIFF#BIZON, el grupo APT37 utiliza malware identificado como un troyano de acceso remoto (RAT) conocido como Konni para establecer persistencia y realizar escalamiento de privilegios en los sistemas comprometidos. El RAT Konni ha sido atribuido a grupos de hackers con sede en Corea del Norte Thallium y APT37.
Detectar la actividad de APT37
Los hackers norcoreanos mejoran continuamente las tácticas de ingeniería social para obtener acceso ilícito a los objetivos. Para defenderse proactivamente contra APT37, SOC Prime ha lanzado una regla Sigma única y enriquecida con contexto, desarrollada por el perspicaz programa Threat Bounty desarrollador Kyaw Pyiyt Htet:
El enorme auge en el número de ocurrencias de ciberataques destaca la importancia de estar al tanto del desarrollo de los riesgos cibernéticos. La biblioteca integral de contenido de detección de SOC Prime acumula 200,000 detecciones enriquecidas con contexto alineadas con el marco MITRE ATT&CK® para avanzar en la cobertura de amenazas con contenido de detección meticulosamente seleccionado y verificado. Presione el botón Detect & Hunt para acceder a un repositorio de reglas Sigma asociadas con la actividad de APT37. El botón Explore Threat Context revelará las últimas actualizaciones de contenido y el contexto relevante de la amenaza.
Detect & Hunt Explore Threat Context
Análisis de la Campaña STIFF#BIZON de APT37
El grupo APT Reaper está atacando organizaciones de alto valor en su última campaña, propagando el malware Konni RAT a través de una estafa de phishing por correo electrónico. Según los datos actuales, los principales objetivos son organizaciones en Chequia y Polonia.
El grupo de hackers norcoreano distribuye Konni RAT (visto por primera vez en 2017) con mensajes de phishing. El archivo adjunto malicioso es un archivo comprimido que contiene un documento de Word (missile.docx) y un archivo de acceso directo de Windows (_weapons.doc.lnk.lnk), según lee la investigación publicada por Securonix Threat Labs. La parte inicial de infiltración de la cadena de ataque (el compromiso a través de archivos .lnk maliciosos) es similar a la de otras campañas asociadas con Bumblebee and DogWalk.
Una vez que la víctima abre un archivo armado, comienza la cadena de infección. Los adversarios usan Konni RAT para recopilar información de la víctima, capturar capturas de pantalla, robar archivos de interés y establecer un shell interactivo remoto.
Obtén profesionales de primer nivel y herramientas en tu esquina de defensa cibernética: Uncoder CTI, impulsado por la plataforma de SOC Prime, permite a los investigadores de seguridad convertir automáticamente IOCs de múltiples tipos en consultas personalizadas que permiten la búsqueda instantánea de IOCs en entornos únicos de clientes.
