Detección de Ataque del Grupo Konni: Hackers Norcoreanos Utilizan Documento de Word Armado en Ruso para Propagar Malware RAT

[post-views]
noviembre 29, 2023 · 4 min de lectura
Detección de Ataque del Grupo Konni: Hackers Norcoreanos Utilizan Documento de Word Armado en Ruso para Propagar Malware RAT

Los defensores observan un nuevo ataque de phishing, en el cual los adversarios utilizan un documento de Microsoft Word en ruso para distribuir malware que puede extraer datos sensibles de instancias de Windows específicas. Los hackers detrás de esta campaña ofensiva pertenecen a un grupo norcoreano denominado Konni, que comparte similitudes con un grupo de ciberespionaje rastreado como Kimsuky APT. 

Detectar Ataques del Grupo Konni

La campaña ofensiva prolongada del grupo norcoreano Konni APT, dirigida a la distribución de malware tipo RAT y la exfiltración de datos, recuerda a los defensores los riesgos crecientes de los ataques de phishing que continúan causando revuelo en el ámbito de las amenazas cibernéticas. La plataforma SOC Prime ofrece un conjunto de nuevas reglas Sigma desarrolladas por el autor de Threat Bounty, Zaw Min Htun, para detectar la última campaña de Konni. Todos los algoritmos de detección son compatibles con docenas de tecnologías SIEM, EDR, XDR y Data Lake para ser utilizados en múltiples tecnologías y están mapeados en el marco MITRE ATT&CK®:

Posible Evasión de Actividad de la Campaña Konni mediante Detección de Configuraciones de Registro (a través de registry_event)

Posible Flujo de Ejecución de Malware de la Campaña de Konni a través de Llave de Registro (mediante process_creation)

Estas reglas Sigma abordan la táctica de Evasión de Defensa con la técnica de Modificación del Registro (T1112).

Intento de Conexión al C2 de Konni Detectado mediante la Identificación de URL Asociada (a través de proxy)

Esta detección aborda la táctica de Comando y Control con la técnica correspondiente de Protocolo de Capa de Aplicación (T1071) y la sub-técnica de Protocolos Web (T1071.001).

Ingenieros de Detección y Cazadores de Amenazas que se esfuerzan por acelerar su habilidad de defensa cibernética mientras comparten su experiencia con sus pares son bienvenidos a unirse a las filas del Programa Threat Bounty de SOC Prime. Para ayudar a su organización a mantenerse a la delantera de los ataques vinculados al grupo Konni APT, confíe en la colección completa de reglas Sigma relevantes aumentadas con CTI y metadatos accionables. Haga clic en  Explorar Detecciones para profundizar en la lista de contenido SOC para ataques relacionados con Konni. 

Explorar Detecciones

Análisis del Ataque del Grupo Norcoreano Konni APT

FortiGuard Labs descubrió una nueva campaña de phishing atribuida a un actor de amenaza norcoreano, Konni, que aprovecha un documento Word en ruso dañino para propagar malware en los sistemas afectados. El grupo Konni APT es conocido por sus sofisticadas campañas de ciberespionaje dirigidas a la exfiltración de datos. Los adversarios aprovechan múltiples muestras de malware y herramientas, evolucionando continuamente sus tácticas para evadir la detección, lo que plantea crecientes desafíos para los defensores. 

Se ha observado al grupo Konni explotando la vulnerabilidad de WinRAR (CVE-2023-38831) y ofuscando scripts de Visual Basic para propagar Konni RAT y un script Batch de Windows destinado a robar datos sensibles de las máquinas comprometidas. La campaña en curso, que ha estado activa durante un período prolongado, aprovecha malware tipo RAT capaz de extraer datos sensibles y ejecutar comandos en dispositivos afectados. Los hackers aplican múltiples enfoques para obtener acceso inicial, entregar cargas útiles y establecer persistencia dentro de las redes de las víctimas objetivo.

En la última campaña, Konni utiliza un conjunto de herramientas avanzado insertado en un documento Word dañino a través de scripts batch y archivos DLL. La carga útil incluye una omisión de Control de Cuentas de Usuario (UAC) y comunicación cifrada con un servidor C2, lo que da a los atacantes luz verde para ejecutar comandos privilegiados. 

Con el creciente número de ataques atribuidos a grupos APT norcoreanos, las organizaciones globales alimentan la necesidad de prácticas de ciberseguridad vigilantes y medidas proactivas de detección de amenazas. Aprovechando Uncoder AI, el primer IDE de la industria para ingeniería de detección, los ingenieros de seguridad pueden escribir código de detección altamente resistente de manera más rápida e inteligente, así como traducirlo a 65 formatos de lenguaje de seguridad con un rendimiento de sub-segundo.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko