Détection d’Attaques du Groupe Konni : Des Hackers Nord-Coréens Utilisent un Document Word Armes en Langue Russe pour Répandre un Malware RAT

Les défenseurs observent une nouvelle attaque de phishing, dans laquelle les adversaires arment un document Microsoft Word en langue russe pour distribuer des logiciels malveillants capables d’extraire des données sensibles des instances Windows ciblées. Les hackers derrière cette campagne offensive appartiennent à un groupe nord-coréen appelé Konni, qui partage des similitudes avec un groupe de cyber-espionnage suivi sous le nom de Kimsuky APT. 

Détecter les attaques du groupe Konni

La campagne offensive de longue durée du groupe APT Konni de Corée du Nord visant la distribution de logiciels malveillants RAT et l’exfiltration de données rappelle aux défenseurs les risques croissants des attaques de phishing qui ne cessent de faire sensation dans l’arène des menaces cybernétiques. La plateforme SOC Prime propose un ensemble de nouvelles règles Sigma développées par l’auteur Threat Bounty, Zaw Min Htun, pour détecter la dernière campagne de Konni. Tous les algorithmes de détection sont compatibles avec des dizaines de technologies SIEM, EDR, XDR et Data Lake pour être utilisés à travers de multiples technologies et sont mappés sur le cadre MITRE ATT&CK®:

Évasion possible de l’activité de la campagne Konni via la détection des paramètres de registre (via registry_event)

Flux d’exécution possible du malware de la campagne de Konni via la clé de registre (via process_creation)

Ces règles Sigma abordent la tactique d’évasion défensive avec la technique de modification du registre (T1112).

Tentative suspecte de connexion C2 de Konni détectée via l’identification de l’URL associée (via proxy)

Cette détection aborde la tactique de Commande et Contrôle avec la technique correspondante du protocole de couche application (T1071) et la sous-technique des protocoles web (T1071.001).

Les ingénieurs en détection et les chasseurs de menaces qui s’efforcent d’accélérer leur ensemble de compétences en cyberdéfense tout en partageant leur expertise avec leurs pairs sont invités à rejoindre les rangs du Programme de récompenses Threat Bounty de SOC Prime. Pour aider votre organisation à rester en avance sur les attaques liées au groupe APT Konni, fiez-vous à l’ensemble complet des règles Sigma pertinentes augmentées par la CTI et des métadonnées exploitables. Cliquez  Explorer les détections pour accéder à la liste des contenus SOC pour les attaques liées à Konni. 

Explorer les détections

Analyse des attaques du groupe APT Konni de Corée du Nord

Les FortiGuard Labs ont découvert une nouvelle campagne de phishing attribuée à un acteur menaçant nord-coréen, Konni, qui tire parti d’un document Word en langue russe nuisible pour propager des logiciels malveillants sur les systèmes impactés. Le groupe APT Konni est connu pour ses campagnes sophistiquées de cyber-espionnage visant l’exfiltration de données. Les adversaires utilisent plusieurs échantillons de malware et outils, faisant évoluer continuellement leurs tactiques pour échapper à la détection, ce qui pose des défis croissants aux défenseurs. 

Le groupe Konni a été observé exploitant la vulnérabilité de WinRAR (CVE-2023-38831) et obfusquant des scripts Visual Basic pour propager Konni RAT et un script Batch Windows visant à voler des données sensibles des machines compromises. La campagne en cours, qui est active depuis une période prolongée, tire parti de logiciels malveillants RAT capables d’extraire des données sensibles et d’exécuter des commandes sur les appareils impactés. Les hackers appliquent de multiples approches pour obtenir un accès initial, livrer des charges utiles et établir une persistance au sein des réseaux des victimes ciblées.

Dans la dernière campagne, Konni utilise un ensemble d’outils avancés intégrés dans un document Word nuisible via des scripts batch et des fichiers DLL. La charge utile comprend un contournement de la contrôle de compte utilisateur (UAC) et une communication chiffrée avec un serveur C2, donnant aux attaquants le feu vert pour exécuter des commandes avec privilèges. 

Avec le nombre croissant d’attaques attribuées aux groupes APT nord-coréens, les organisations mondiales alimentent le besoin de pratiques de cybersécurité vigilantes et de mesures de détection proactive des menaces. En utilisant Uncoder AI, le premier IDE du secteur pour l’ingénierie de détection, les ingénieurs en sécurité peuvent rédiger des codes de détection très résilients plus rapidement et plus intelligemment, ainsi que les traduire en 65 formats de langage de sécurité avec une performance ultra-rapide.