Er is een nieuwe phishing-aanval waargenomen waarbij gebruik werd gemaakt van een Russischtalig Microsoft Word-document om malware af te leveren die gevoelige informatie van gecompromitteerde Windows-hosts kan verzamelen.
De activiteit is toegeschreven aan een bedreigingsacteur genaamd Konniwaarvan wordt aangenomen dat het overlap vertoont met een Noord-Koreaanse cluster dat wordt gevolgd als Kimsuky (ook bekend als APT43).
“Deze campagne is gebaseerd op een trojan voor externe toegang (RAT) die informatie kan extraheren en opdrachten kan uitvoeren op besmette apparaten”, zei Fortinet FortiGuard Labs-onderzoeker Cara Lin in een analyse die deze week werd gepubliceerd.
De cyberspionagegroep valt op door zijn aanvallen op Rusland, waarbij de modus operandi gebruik maakt van spearphishing-e-mails en kwaadaardige documenten als toegangspunten voor hun aanvallen.
Recente aanvallen gedocumenteerd door Knowsec en ThreatMon hebben gebruik gemaakt van de WinRAR-kwetsbaarheid (CVE-2023-38831) en van versluierde Visual Basic-scripts om Konni RAT en een Windows Batch-script te verwijderen dat gegevens van de geïnfecteerde machines kan verzamelen.
“Konni’s belangrijkste doelstellingen zijn onder meer data-exfiltratie en het uitvoeren van spionageactiviteiten”, aldus ThreatMon. “Om deze doelen te bereiken maakt de groep gebruik van een breed scala aan malware en tools, waarbij ze hun tactieken regelmatig aanpassen om detectie en attributie te voorkomen.”
De laatste door Fortinet waargenomen aanvalsvolgorde betreft een Word-document met macro’s dat, indien ingeschakeld, een artikel in het Russisch weergeeft dat zogenaamd gaat over ‘Westerse beoordelingen van de voortgang van de speciale militaire operatie’.
De Visual Basic for Application (VBA)-macro gaat vervolgens verder met het starten van een interim Batch-script dat systeemcontroles uitvoert, User Account Control (UAC) omzeilt en uiteindelijk de weg vrijmaakt voor de implementatie van een DLL-bestand dat informatieverzameling en exfiltratiemogelijkheden omvat.
“De payload omvat een UAC-bypass en gecodeerde communicatie met een C2-server, waardoor de bedreigingsactor geprivilegieerde opdrachten kan uitvoeren”, aldus Lin.
Konni is verre van de enige Noord-Koreaanse dreigingsactoren die Rusland als doelwit heeft aangemerkt. Uit bewijsmateriaal verzameld door Kaspersky, Microsoft en SentinelOne blijkt dat het vijandige collectief ScarCruft (ook bekend als APT37) zich ook heeft gericht op handelsbedrijven en raketbouwbedrijven in het land.
De onthulling komt ook minder dan twee weken nadat Solar, de cyberbeveiligingsafdeling van het Russische staatstelecommunicatiebedrijf Rostelecom, onthulde dat bedreigingsactoren uit Azië – vooral die uit China en Noord-Korea – verantwoordelijk waren voor het merendeel van de aanvallen op de infrastructuur van het land.
“De Noord-Koreaanse Lazarus-groep is ook zeer actief op het grondgebied van de Russische Federatie”, aldus het bedrijf. “Begin november hebben Lazarus-hackers nog steeds toegang tot een aantal Russische systemen.”
