Détection APT37 : Hackers nord-coréens diffusent Konni RAT, ciblent des organisations en Tchéquie et en Pologne
Table des matières :
The APT37, alias Reaper, Ricochet Chollima et ScarCruft, est un groupe de hackers affilié à la Corée du Nord. Les pirates sont actifs depuis au moins 2012, ciblant principalement des organisations des secteurs public et privé en Corée du Sud. À partir de 2017, les adversaires ont élargi leur ciblage, cherchant désormais des victimes à l’échelle mondiale. Les secteurs affectés comprennent, sans s’y limiter, la fabrication, l’électronique, la santé et les industries automobiles..
Dans la campagne la plus récente suivie sous le nom de STIFF#BIZON, le groupe APT37 utilise un malware identifié comme un cheval de Troie d’accès à distance (RAT) connu sous le nom de Konni pour établir la persistance et effectuer une élévation des privilèges d’hôte au sein des systèmes compromis. Le Konni RAT a été attribué à des groupes de hackers basés en Corée du Nord. Thallium et APT37.
Détecter l’activité de l’APT37
Les hackers nord-coréens améliorent continuellement les tactiques d’ingénierie sociale pour obtenir un accès illicite aux cibles. Pour défendre de manière proactive contre APT37, SOC Prime a publié une règle Sigma unique et enrichie de contexte développée par le perspicace Threat Bounty développeur Kyaw Pyiyt Htet:
Activité du malware Konni de l’APT37 nord-coréen par détection des commandes associées (via CmdLine
L’augmentation massive du nombre d’occurrences de cyberattaques souligne l’importance de rester informé de l’évolution des risques cybernétiques. La bibliothèque de contenu de détection complète de SOC Prime accumule 200 000 détections enrichies de contexte alignées avec le cadre MITRE ATT&CK® pour faire progresser la couverture des menaces avec un contenu de détection soigneusement sélectionné et vérifié. Appuyez sur le bouton Détecter & Chasser pour accéder à un dépôt de règles Sigma associées à l’activité de l’APT37. Le bouton Explorer le Contexte des Menaces révélera les dernières mises à jour de contenu et le contexte de menace pertinent.
bouton Détecter & Chasser bouton Explorer le Contexte des Menaces
Analyse de la campagne STIFF#BIZON de l’APT37
Le groupe APT Reaper cible des organisations de grande valeur dans leur dernière campagne, diffusant le malware Konni RAT via une arnaque de phishing par email. Selon les données actuelles, les principales cibles sont des organisations en Tchéquie et en Pologne.
Le groupe de hackers nord-coréen distribue le Konni RAT (détecté pour la première fois en 2017) avec des messages de phishing. La pièce jointe malveillante est une archive contenant un document Word (missile.docx) et un fichier de raccourci Windows (_weapons.doc.lnk.lnk), selon la recherche publiée par Securonix Threat Labs. La partie initiale d’infiltration de la chaîne d’attaque (le compromis via des fichiers .lnk malveillants) est similaire à celle d’autres campagnes associées à Bumblebee and DogWalk.
Une fois que la victime ouvre un fichier armé, la chaîne d’infection commence. Les adversaires utilisent le Konni RAT pour collecter des informations sur la victime, capturer des captures d’écran, voler des fichiers d’intérêt et établir un shell interactif à distance.
Obtenez des professionnels et des outils de premier ordre dans votre coin de défense cyber : Uncoder CTI, propulsé par la plate-forme de SOC Prime, permet aux chercheurs en sécurité de convertir automatiquement les IOCs de plusieurs types en requêtes personnalisées, permettant une recherche instantanée des IOCs pour des environnements clients uniques.
