Rilevamento APT37: Hacker nordcoreani distribuiscono Konni RAT, bersagliando organizzazioni in Cechia e Polonia
Indice:
The APT37, noto anche come Reaper, Ricochet Chollima e ScarCruft, è un gruppo di hacker affiliato alla Corea del Nord. Gli hacker sono attivi almeno dal 2012, prendendo di mira principalmente organizzazioni nei settori pubblico e privato in Corea del Sud. A partire dal 2017, gli avversari hanno ampliato i loro obiettivi, cercando ora vittime a livello globale. I settori colpiti includono, ma non sono limitati a, manifatturiero, elettronica, sanità e industria automobilistica.
Nella campagna più recente tracciata come STIFF#BIZON, il gruppo APT37 utilizza malware identificato come trojan di accesso remoto (RAT) noto come Konni per stabilire la persistenza ed eseguire escalation dei privilegi dell’host all’interno dei sistemi compromessi. Il Konni RAT è stato attribuito a gruppi di hacker basati in Corea del Nord Thallium e APT37.
Rilevare l’Attività di APT37
Gli hacker nordcoreani migliorano continuamente le tattiche di ingegneria sociale per ottenere accessi illeciti ai bersagli. Per difendersi proattivamente contro APT37, SOC Prime ha rilasciato una regola Sigma unica, arricchita di contesto, sviluppata dal perspicace Threat Bounty developer Kyaw Pyiyt Htet:
Il boom massiccio nel numero di occorrenze di attacchi informatici sottolinea l’importanza di mantenere il polso dello sviluppo dei rischi cibernetici. La libreria di contenuti di rilevamento completa di SOC Prime accumula 200.000 rilevamenti arricchiti dal contesto allineati con il framework MITRE ATT&CK® per avanzare la copertura delle minacce tramite contenuti di rilevamento curati e verificati nei minimi dettagli. Premi il pulsante Rileva & Caccia per accedere a un repository di regole Sigma associate all’attività di APT37. Il pulsante Esplora Contesto delle Minacce rivelerà gli ultimi aggiornamenti dei contenuti e il contesto delle minacce rilevanti.
Rileva & Caccia Esplora Contesto delle Minacce
Analisi della Campagna STIFF#BIZON di APT37
Il gruppo APT Reaper sta prendendo di mira organizzazioni di alto valore nella loro ultima campagna, diffondendo il malware Konni RAT tramite una truffa di phishing tramite email. Secondo i dati attuali, i bersagli principali sono le organizzazioni in Repubblica Ceca e Polonia.
Il gruppo di hacker nordcoreano distribuisce Konni RAT (avvistato per la prima volta nel 2017) con messaggi di phishing. L’allegato malevolo è un archivio contenente un documento Word (missile.docx) e un file di collegamento Windows (weapons.doc.lnk.lnk), si legge nella ricerca rilasciata da Securonix Threat Labs. La parte iniziale dell’attacco (la compromesso tramite file .lnk malevoli) è simile a quella di altre campagne associate a Bumblebee and DogWalk.
Una volta che la vittima apre un file armato, la catena di infezione inizia. Gli avversari usano Konni RAT per raccogliere informazioni sulla vittima, catturare schermate, rubare file d’interesse e stabilire una shell interattiva remota.
Ottieni professionisti e strumenti di primo livello nel tuo angolo di difesa informatica: Uncoder CTI, alimentato dalla piattaforma SOC Prime, consente ai ricercatori di sicurezza di convertire automaticamente gli IOCs di vari tipi in query personalizzate, abilitando la ricerca istantanea di IOC per ambienti cliente unici.
