Een installatieprogramma voor een tool die waarschijnlijk wordt gebruikt door de Russische consulaire afdeling van het Ministerie van Buitenlandse Zaken (MID) is achter de deur geplaatst om een trojan voor externe toegang af te leveren, genaamd Konni RAT (ook bekend als UpDog).
De bevindingen zijn afkomstig van het Duitse cyberbeveiligingsbedrijf DCSO, dat de activiteit koppelde als afkomstig van de Democratische Volksrepubliek Korea (DPRK)-nexusactoren die zich op Rusland richten.
Het activiteitencluster Konni (ook bekend als Opal Sleet, Osmium of TA406) heeft een vast patroon voor het inzetten van Konni RAT tegen Russische entiteiten, waarbij de dreigingsactor ook in verband wordt gebracht met aanvallen gericht tegen MID, in ieder geval sinds oktober 2021.
In november 2023 onthulde Fortinet FortiGuard Labs het gebruik van Russischtalige Microsoft Word-documenten om malware te leveren die gevoelige informatie van aangetaste Windows-hosts kan verzamelen.
DCSO zei dat het verpakken van Konni RAT in software-installatieprogramma’s een techniek is eerder aangenomen door de groep in oktober 2023, toen bleek dat het gebruik maakte van Russische belastingaangiftesoftware genaamd Spravki BK om de trojan te verspreiden.
“In dit geval lijkt het achterdeur-installatieprogramma voor een tool genaamd ‘Statistika KZU’ (Cтатистика КЗУ) te zijn”, aldus het in Berlijn gevestigde bedrijf.
“Op basis van installatiepaden, bestandsmetagegevens en gebruikershandleidingen die in het installatieprogramma zijn gebundeld, […] de software is bedoeld voor intern gebruik binnen het Russische Ministerie van Buitenlandse Zaken (MID), met name voor het doorgeven van jaarverslagbestanden van overzeese consulaire posten (КЗУ — консульские загранучреждения) via een beveiligd kanaal aan de consulaire afdeling van de MID.”
Het getrojaniseerde installatieprogramma is een MSI-bestand dat, wanneer het wordt gestart, de infectiesequentie initieert om contact te maken met een command-and-control (C2)-server in afwachting van verdere instructies.
De trojan voor externe toegang, die mogelijkheden biedt voor bestandsoverdracht en opdrachtuitvoering, wordt vermoedelijk al in 2014 in gebruik genomen en is ook gebruikt door andere Noord-Koreaanse bedreigingsactoren, bekend als Kimsuky en ScarCruft (ook bekend als APT37).
Het is momenteel niet duidelijk hoe de bedreigingsactoren het installatieprogramma hebben weten te bemachtigen, aangezien het niet publiekelijk verkrijgbaar is. Maar het vermoeden bestaat dat de lange geschiedenis van spionageoperaties tegen Rusland hen mogelijk heeft geholpen potentiële instrumenten voor volgende aanvallen te identificeren.
Hoewel de aanvallen van Noord-Korea op Rusland niet nieuw zijn, komt de ontwikkeling voort uit de groeiende geopolitieke nabijheid tussen de twee landen. Staatsmedia uit het Hermit Kingdom berichtten deze week dat de Russische president Vladimir Poetin leider Kim Jong Un een luxe auto van Russische makelij heeft gegeven.
“Tot op zekere hoogte hoeft dit geen verrassing te zijn; van de toenemende strategische nabijheid wordt niet verwacht dat deze de bestaande inzamelingsbehoeften van de DVK volledig zal overschrijven, terwijl de DVK een voortdurende behoefte heeft om de planning van het Russische buitenlands beleid te kunnen beoordelen en verifiëren. doelstellingen”, aldus DCSO.
