Konni Group Attack Detection: North Korean Hackers Leverage russian-Language Weaponized Word Document to Spread RAT Malware

[post-views]
11月 29, 2023 · 6 分で読めます
Konni Group Attack Detection: North Korean Hackers Leverage russian-Language Weaponized Word Document to Spread RAT Malware

ディフェンダーは、攻撃者がロシア語のMicrosoft Word文書を武器化して、標的のWindowsインスタンスから機密データを抽出できるマルウェアを配布する新たなフィッシング攻撃を観察しました。この攻撃キャンペーンの背後にいるハッカーは、Konniと呼ばれる北朝鮮グループに属しており、サイバー諜報クラスターである Kimsuky APTと類似点があります。 

Konniグループの攻撃を検出する

北朝鮮のKonni APTグループによる長期間の攻撃キャンペーンは、RATマルウェアの配布とデータ流出を目的としており、フィッシング攻撃がサイバー脅威の領域で絶えず波紋を引き起こしているリスクが高まっていることをディフェンダーに思い出させます。SOC Primeプラットフォームは、Threat Bountyの執筆者 Zaw Min Htunによって開発された新しいSigmaルールセットを提供し、最新のKonniキャンペーンを検出します。すべての検出アルゴリズムは、複数の技術で使用するために、SIEM、EDR、XDR、およびデータレイク技術の数十に互換性があり、 MITRE ATT&CK®フレームワーク:

レジストリ設定の検出を介したKonniキャンペーン活動の回避の可能性(registry_event経由)

レジストリキーを介したKonniキャンペーンマルウェアの実行フローの可能性(process_creation経由)

これらのSigmaルールは、Defense Evasion戦術に関連するModify Registry技術(T1112)を対象としています。 

プロキシ経由で関連するURLの識別を通して発見された疑わしいKonniのC2接続試行

この検出は、コマンドとコントロール戦術に対応し、対応するアプリケーションレイヤープロトコル(T1071)技術およびWebプロトコル(T1071.001)サブ技術を伴います。

サイバー防御スキルを加速しつつ、仲間と専門知識を共有しようと努力している検出エンジニアやサイバー脅威ハンターは SOC PrimeのThreat Bounty Programに参加することを歓迎します。Konni APTグループに関連する攻撃を先取りするには、CTIと対応可能なメタデータで強化された関連Sigmaルールのコレクション全体を頼りにしてください。  検出を探る にクリックして、Konni関連の攻撃に対するSOCコンテンツのリストを詳細に確認してください。 

検出を探る

北朝鮮Konni APTグループ攻撃分析

FortiGuard Labsは、新しいフィッシングキャンペーンを明らかにしました これは、北朝鮮の脅威アクターKonniに起因するもので、有害なロシア語のWord文書を利用して影響を受けたシステムにマルウェアを拡散するものです。Konni APTグループは、データ流出を狙った洗練されたサイバースパイ活動で悪名高いです。攻撃者は、複数のマルウェアサンプルとツールを利用し、検出を回避するために戦術を進化させ続け、ディフェンダーにとって増大する課題を提起しています。 

Konniグループは、WinRARの脆弱性(CVE-2023-38831)を悪用し、Visual Basicスクリプトを難読化して Konni RAT と、侵害されたマシンから機密データを盗むためのWindowsバッチスクリプトを拡散しています。長期間にわたって活動しているこのキャンペーンは、影響を受けたデバイスから機密データを抽出し、コマンドを実行する能力を持つRATマルウェアを利用しています。ハッカーは初期アクセスを得るため、ペイロードを配信し、標的の被害者のネットワーク内で持続性を確立するために、複数のアプローチを適用しています。

最新のキャンペーンでは、Konniはダメージを与えるWord文書に埋め込まれた高度なツールセットをバッチスクリプトとDLLファイルを通じて利用しています。このペイロードにはユーザーアカウント制御(UAC)のバイパスと、C2サーバーとの暗号化通信が含まれ、攻撃者に特権コマンドを実行する許可を与えます。 

北朝鮮APTグループに起因する攻撃の増加に伴い、世界の組織は警戒を怠らないサイバーセキュリティ慣行と、攻撃的な脅威検出手段の必要性を促進しています。 Uncoder AIを活用することで、検出エンジニアリングの業界初のIDEを使用して、セキュリティエンジニアはより速く、よりスマートに非常に耐性のある検出コードを記述し、65のセキュリティ言語フォーマットに亜秒単位で翻訳することができます。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
ブログ, 最新の脅威 — 6 分で読めます
XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
Veronika Telychko
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
ブログ, 最新の脅威 — 7 分で読めます
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
Veronika Telychko
TorNetバックドア検出:進行中のフィッシングメールキャンペーンがPureCrypterマルウェアを使用し他のペイロードを展開
ブログ, 最新の脅威 — 8 分で読めます
TorNetバックドア検出:進行中のフィッシングメールキャンペーンがPureCrypterマルウェアを使用し他のペイロードを展開
Veronika Telychko