Konni Group Attack Detection: North Korean Hackers Leverage russian-Language Weaponized Word Document to Spread RAT Malware

最新の脅威

11月 29, 2023

6 分で読めます

Konni Group Attack Detection: North Korean Hackers Leverage russian-Language Weaponized Word Document to Spread RAT Malware

Veronika Zahorulko
Veronika Zahorulko テクニカルライター linkedin icon フォローする

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
目次

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

ディフェンダーは、攻撃者がロシア語のMicrosoft Word文書を武器化して、標的のWindowsインスタンスから機密データを抽出できるマルウェアを配布する新たなフィッシング攻撃を観察しました。この攻撃キャンペーンの背後にいるハッカーは、Konniと呼ばれる北朝鮮グループに属しており、サイバー諜報クラスターである Kimsuky APTと類似点があります。 

Konniグループの攻撃を検出する

北朝鮮のKonni APTグループによる長期間の攻撃キャンペーンは、RATマルウェアの配布とデータ流出を目的としており、フィッシング攻撃がサイバー脅威の領域で絶えず波紋を引き起こしているリスクが高まっていることをディフェンダーに思い出させます。SOC Primeプラットフォームは、Threat Bountyの執筆者 Zaw Min Htunによって開発された新しいSigmaルールセットを提供し、最新のKonniキャンペーンを検出します。すべての検出アルゴリズムは、複数の技術で使用するために、SIEM、EDR、XDR、およびデータレイク技術の数十に互換性があり、 MITRE ATT&CK®フレームワーク:

レジストリ設定の検出を介したKonniキャンペーン活動の回避の可能性(registry_event経由)

レジストリキーを介したKonniキャンペーンマルウェアの実行フローの可能性(process_creation経由)

これらのSigmaルールは、Defense Evasion戦術に関連するModify Registry技術(T1112)を対象としています。 

プロキシ経由で関連するURLの識別を通して発見された疑わしいKonniのC2接続試行

この検出は、コマンドとコントロール戦術に対応し、対応するアプリケーションレイヤープロトコル(T1071)技術およびWebプロトコル(T1071.001)サブ技術を伴います。

サイバー防御スキルを加速しつつ、仲間と専門知識を共有しようと努力している検出エンジニアやサイバー脅威ハンターは SOC PrimeのThreat Bounty Programに参加することを歓迎します。Konni APTグループに関連する攻撃を先取りするには、CTIと対応可能なメタデータで強化された関連Sigmaルールのコレクション全体を頼りにしてください。  検出を探る にクリックして、Konni関連の攻撃に対するSOCコンテンツのリストを詳細に確認してください。 

検出を探る

北朝鮮Konni APTグループ攻撃分析

FortiGuard Labsは、新しいフィッシングキャンペーンを明らかにしました これは、北朝鮮の脅威アクターKonniに起因するもので、有害なロシア語のWord文書を利用して影響を受けたシステムにマルウェアを拡散するものです。Konni APTグループは、データ流出を狙った洗練されたサイバースパイ活動で悪名高いです。攻撃者は、複数のマルウェアサンプルとツールを利用し、検出を回避するために戦術を進化させ続け、ディフェンダーにとって増大する課題を提起しています。 

Konniグループは、WinRARの脆弱性(CVE-2023-38831)を悪用し、Visual Basicスクリプトを難読化して Konni RAT と、侵害されたマシンから機密データを盗むためのWindowsバッチスクリプトを拡散しています。長期間にわたって活動しているこのキャンペーンは、影響を受けたデバイスから機密データを抽出し、コマンドを実行する能力を持つRATマルウェアを利用しています。ハッカーは初期アクセスを得るため、ペイロードを配信し、標的の被害者のネットワーク内で持続性を確立するために、複数のアプローチを適用しています。

最新のキャンペーンでは、Konniはダメージを与えるWord文書に埋め込まれた高度なツールセットをバッチスクリプトとDLLファイルを通じて利用しています。このペイロードにはユーザーアカウント制御(UAC)のバイパスと、C2サーバーとの暗号化通信が含まれ、攻撃者に特権コマンドを実行する許可を与えます。 

北朝鮮APTグループに起因する攻撃の増加に伴い、世界の組織は警戒を怠らないサイバーセキュリティ慣行と、攻撃的な脅威検出手段の必要性を促進しています。 Uncoder AIを活用することで、検出エンジニアリングの業界初のIDEを使用して、セキュリティエンジニアはより速く、よりスマートに非常に耐性のある検出コードを記述し、65のセキュリティ言語フォーマットに亜秒単位で翻訳することができます。

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More 最新の脅威 Articles

SesameOp バックドア検出:サイバー攻撃でOpenAIアシスタントAPIを悪用する新しいマルウェアをMicrosoftが発見 10 分で読めます 最新の脅威 SesameOp バックドア検出:サイバー攻撃でOpenAIアシスタントAPIを悪用する新しいマルウェアをMicrosoftが発見 by Veronika Zahorulko MostereRAT検知:攻撃者がAnyDeskとTightVNCを悪用しWindowsシステムに持続的アクセス 8 分で読めます 最新の脅威 MostereRAT検知:攻撃者がAnyDeskとTightVNCを悪用しWindowsシステムに持続的アクセス by Daryna Olyniychuk Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Zahorulko