Detecção do APT37: Hackers Norte-Coreanos Distribuem Konni RAT, Alvo em Organizações na Tchéquia e Polônia
Índice:
The APT37, também conhecido como Reaper, Ricochet Chollima e ScarCruft, é um grupo de hackers afiliado à Coreia do Norte. Os hackers estão ativos pelo menos desde 2012, principalmente atacando organizações nos setores público e privado na Coreia do Sul. A partir de 2017, os adversários expandiram seus alvos, agora buscando vítimas globalmente. Os setores afetados incluem, mas não se limitam a, manufatura, eletrônica, saúde e indústrias automotivas..
Na campanha mais recente, rastreada como STIFF#BIZON, o grupo APT37 usa malware identificado como um trojan de acesso remoto (RAT) conhecido como Konni para estabelecer persistência e realizar escalonamento de privilégios no sistema comprometido. O Konni RAT foi atribuído a grupos de hackers baseados na Coreia do Norte Thallium e APT37.
Detectar Atividade do APT37
Hackers norte-coreanos continuamente aprimoram táticas de engenharia social para obter acesso ilícito aos alvos. Para defender-se proativamente contra o APT37, a SOC Prime lançou uma regra Sigma única, enriquecida com contexto, desenvolvida pelo perspicaz Threat Bounty desenvolvedor Kyaw Pyiyt Htet:
O enorme aumento no número de ocorrências de ciberataques destaca a importância de se manter atualizado com o desenvolvimento dos riscos cibernéticos. A biblioteca de conteúdo de detecção abrangente da SOC Prime acumula 200.000 detecções enriquecidas com contexto alinhadas com o MITRE ATT&CK® framework para avançar na cobertura da ameaça com conteúdo de detecção cuidadosamente curado e verificado. Pressione o botão Detectar & Caçar para acessar um repositório de regras Sigma associadas à atividade do APT37. O botão Explore o Contexto da Ameaça revelará as últimas atualizações de conteúdo e o contexto relevante da ameaça.
Detectar & Caçar Explore o Contexto da Ameaça
Análise da Campanha STIFF#BIZON do APT37
O grupo APT Reaper está visando organizações de alto valor em sua campanha mais recente, espalhando malware Konni RAT por meio de um golpe de phishing por e-mail. De acordo com os dados atuais, os principais alvos são organizações na República Tcheca e na Polônia.
O grupo de hackers norte-coreano distribui o Konni RAT (primeiramente identificado em 2017) com mensagens de phishing. O anexo malicioso é um arquivo de arquivamento contendo um documento Word (missile.docx) e um arquivo de atalho do Windows (_weapons.doc.lnk.lnk), lê-se na pesquisa divulgada por Securonix Threat Labs. A parte inicial do infiltração da cadeia de ataque (o comprometimento via arquivos .lnk maliciosos) é semelhante a uma em outras campanhas associadas com Bumblebee and DogWalk.
Uma vez que a vítima abre um arquivo armado, a cadeia de infecção começa. Os adversários usam o Konni RAT para coletar informações da vítima, capturar capturas de tela, roubar arquivos de interesse e estabelecer um shell remoto interativo.
Obtenha profissionais e ferramentas de alto nível em sua defesa cibernética: Uncoder CTI, alimentado pela plataforma da SOC Prime, permite que pesquisadores de segurança convertam automaticamente IOCs de vários tipos em consultas personalizadas, possibilitando a pesquisa instantânea de IOC para ambientes de clientes únicos.
