Detecção de Ataque do Grupo Konni: Hackers Norte-Coreanos Utilizam Documento Word em Russo Armazenado para Espalhar Malware RAT
Índice:
Defensores observam um novo ataque de phishing, no qual adversários armam um documento do Microsoft Word em russo para distribuir malware que pode extrair dados sensíveis de instâncias Windows alvo. Hackers por trás desta campanha ofensiva pertencem a um grupo norte-coreano chamado Konni, que compartilha semelhanças com um cluster de ciberespionagem rastreado como Kimsuky APT.
Detectar Ataques do Grupo Konni
A longa campanha ofensiva do grupo APT Konni norte-coreano visando a distribuição de malware RAT e exfiltração de dados lembra aos defensores os riscos crescentes dos ataques de phishing que estão continuamente causando alvoroço na arena de ameaças cibernéticas. A Plataforma SOC Prime fornece um conjunto de novas regras Sigma desenvolvidas pelo autor do Threat Bounty, Zaw Min Htun, para detectar a última campanha Konni. Todos os algoritmos de detecção são compatíveis com dezenas de tecnologias de SIEM, EDR, XDR e Data Lake para serem usados em diversas tecnologias e são mapeados para o framework MITRE ATT&CK®:
Possível Fluxo de Execução de Malware da Campanha Konni via Chave do Registro (via process_creation)
Essas regras Sigma abordam a tática de Evasão de Defesa com a técnica de Modificação de Registro (T1112).
Esta detecção aborda a tática de Comando e Controle com a técnica correspondente de Protocolo de Camada de Aplicação (T1071) e sub-técnica de Protocolos Web (T1071.001).
Engenheiros de Detecção e Caçadores de Ameaças que desejam acelerar suas habilidades de defesa cibernética enquanto compartilham sua expertise com colegas são bem-vindos para se juntar ao Programa de Threat Bounty da SOC Prime. Para ajudar sua organização a se manter à frente dos ataques ligados ao grupo APT Konni, confie na coleção completa de regras Sigma relevantes, aumentada com CTI e metadados acionáveis. Clique em Explorar Detecções para se aprofundar na lista de conteúdos SOC para ataques relacionados a Konni.
Análise de Ataques do Grupo APT Konni Norte-Coreano
FortiGuard Labs descobriu uma nova campanha de phishing atribuída a um ator de ameaça norte-coreano Konni que se aproveita de um documento malicioso em russo do Word para espalhar malware nos sistemas impactados. O grupo APT Konni é notório por suas sofisticadas campanhas de ciberespionagem voltadas para a exfiltração de dados. Os adversários utilizam múltiplas amostras de malware e ferramentas, evoluindo continuamente suas táticas para evasão de detecção, o que representa desafios crescentes para os defensores.
O grupo Konni foi observado explorando a vulnerabilidade do WinRAR (CVE-2023-38831) e ofuscando scripts Visual Basic para espalhar Konni RAT e um script Batch do Windows visando roubar dados sensíveis das máquinas comprometidas. A campanha contínua, que está ativa há um longo período, aproveita-se de malware RAT capaz de extrair dados sensíveis e executar comandos em dispositivos impactados. Os hackers aplicam várias abordagens para obter acesso inicial, entregar cargas úteis e estabelecer persistência dentro das redes de vítimas alvo.
Na última campanha, Konni utiliza um conjunto avançado de ferramentas incorporado em um documento malicioso do Word através de scripts batch e arquivos DLL. A carga inclui um bypass de Controle de Conta de Usuário (UAC) e comunicação encriptada com um servidor C2, dando aos atacantes luz verde para executar comandos privilegiados.
Com o aumento do número de ataques atribuídos a grupos APT norte-coreanos, organizações globais fomentam a necessidade de práticas vigilantes de cibersegurança e medidas proativas de detecção de ameaças. Ao aproveitar Uncoder AI, o primeiro IDE do setor para engenharia de detecção, engenheiros de segurança podem escrever códigos de detecção altamente resilientes de forma mais rápida e inteligente, além de traduzi-los para 65 formatos de linguagem de segurança com desempenho em sub-segundos.
