Rilevamento dell’attacco del gruppo Konni: hacker nordcoreani utilizzano documenti Word armati in lingua russa per diffondere malware RAT
Indice:
I difensori osservano un nuovo attacco di phishing, nel quale gli avversari sfruttano un documento Microsoft Word in lingua russa per distribuire malware che può estrarre dati sensibili da istanze Windows mirate. Gli hacker dietro questa campagna offensiva appartengono a un gruppo nordcoreano chiamato Konni, che condivide somiglianze con un cluster di cyber-spionaggio tracciato come Kimsuky APT.
Rileva Attacchi del Gruppo Konni
La campagna offensiva a lungo termine del gruppo nordcoreano Konni APT mirata alla distribuzione di malware RAT e all’esfiltrazione di dati ricorda ai difensori i rischi crescenti degli attacchi di phishing che causano continuamente scompiglio nell’arena delle minacce informatiche. La Piattaforma SOC Prime fornisce un set di nuove regole Sigma sviluppate dall’autore di Threat Bounty, Zaw Min Htun, per rilevare l’ultima campagna Konni. Tutti gli algoritmi di rilevamento sono compatibili con dozzine di tecnologie SIEM, EDR, XDR e Data Lake e possono essere utilizzati su più tecnologie e sono mappati al quadro MITRE ATT&CK®:
Queste regole Sigma affrontano la tattica dell’Elusione della Difesa con la tecnica Modifica Registro (T1112).
Questo rilevamento affronta la tattica di Comando e Controllo con la tecnica corrispondente Application Layer Protocol (T1071) e la sottotecnica Web Protocols (T1071.001).
Ingegneri di rilevamento e Cacciatori di Minacce desiderosi di accelerare il loro insieme di competenze nella difesa informatica pur condividendo la loro esperienza con i colleghi sono invitati a unirsi ai ranghi del Programma Threat Bounty di SOC Prime. Per aiutare la tua organizzazione a rimanere avanti agli attacchi legati al gruppo Konni APT, affidati alla collezione completa di regole Sigma pertinenti arricchite con CTI e metadati azionabili. Clicca Esplora Rilevamenti per esaminare l’elenco dei contenuti SOC per attacchi correlati a Konni.
Analisi degli Attacchi del Gruppo Konni APT Nordcoreano
FortiGuard Labs ha scoperto una nuova campagna di phishing attribuita a un attore di minacce nordcoreano Konni che sfrutta un documento Word in lingua russa dannoso per diffondere malware sui sistemi colpiti. Il gruppo APT Konni è noto per le sue sofisticate campagne di cyber-spionaggio mirate all’esfiltrazione di dati. Gli avversari sfruttano molteplici campioni di malware e strumenti, evolvendo continuamente le loro tattiche per l’elusione del rilevamento, il che pone sfide crescenti ai difensori.
È stato osservato che il gruppo Konni sfrutta la vulnerabilità di WinRAR (CVE-2023-38831) e offusca script Visual Basic per diffondere Konni RAT e uno script batch di Windows mirato a rubare dati sensibili dalle macchine compromesse. La campagna in corso, attiva da lungo tempo, sfrutta il malware RAT capace di estrarre dati sensibili ed eseguire comandi sui dispositivi colpiti. Gli hacker applicano molteplici approcci per ottenere l’accesso iniziale, consegnare payload e stabilire la persistenza all’interno delle reti delle vittime mirate.
Nell’ultima campagna, Konni sfrutta un avanzato set di strumenti incorporato in un documento Word dannoso attraverso script batch e file DLL. Il payload include un bypass del Controllo dell’Account Utente (UAC) e una comunicazione criptata con un server C2, dando agli aggressori il via libera per eseguire comandi con privilegi.
Con il crescente numero di attacchi attribuiti ai gruppi APT nordcoreani, le organizzazioni globali alimentano la necessità di pratiche di cybersecurity vigili e misure di rilevamento proattive delle minacce. Sfruttando Uncoder AI, il primo IDE del settore per l’ingegneria del rilevamento, gli ingegneri della sicurezza possono scrivere codice di rilevamento altamente resiliente in modo più veloce e intelligente, oltre a tradurlo in 65 formati di linguaggio di sicurezza con prestazioni sub-secondo.
