Северокорейская группа Konni маскируется под другие группы
20/12/23
Эксперты по кибербезопасности компании Qi An Xin обнаружили вредоносные LNK-файлы, нацеленные на пользователей в Южной Корее. Файлы при запуске распаковывали документы-приманки и VB-скрипты. Одним из таких документов было якобы руководство о том, как проводить проверку безопасности электронной почты.
Первоначально эксперты предположили, что атака исходит от северокорейской группировки APT37, которая ранее неоднократно использовала похожий метод распространения вредоносного ПО. Однако детальный анализ скриптов и адресов управляющих серверов выявил связь злоумышленников с другой северокорейской группировкой Konni, пишет Securitylab.
Используя в своих атаках LNK-файлы, которые по сути являются обычными ярлыками Windows и в последнее время применяются самыми разными акторами угроз, группа Konni очевидно пытается замаскировать свою активность под действия других хакерских объединений
В рассмотренной исследователями вредоносной кампании скрипты Konni, активируемые через LNK-файлы, выполняли следующие действия:
- Устанавливали задачи в планировщике Windows для периодического запуска вредоносного кода. Это позволяло обойти удаление основных файлов и сохранить постоянный контроль над заражённой системой.
- Собирали различную информацию о системе, включая список процессов, сведения о конфигурации, содержимое папок пользователя.
- Отправляли собранные данные на командный сервер злоумышленников.
Анализ обнаруженного вредоносного ПО показал сходство используемых методов с ранее опубликованными образцами, также связанными с Konni. В частности, совпадают способы сокрытия кода, принцип отправки данных на C2-сервер, а также детали технической реализации.
Это указывает на возможную связь Konni с другими восточноазиатскими группировками, такими как APT37 и Kimsuky, которые используют похожие методы сокрытия вредоносного кода внутри LNK-файлов, а также распространяют файлы-приманки для повышения эффективности атак.
Таким образом, анализируемая атака демонстрирует как изменение тактики самой группы Konni, так и тенденцию к сближению методов и обмену наработками между различными APT-группировками азиатского региона.
Чтобы обезопасить себя от подобных атак, эксперты рекомендуют пользователям следовать нескольким базовым правилам:
- Проявлять осторожность при работе с файлами из подозрительных или непроверенных источников. Особенно это касается сообщений из социальных сетей и почтовых вложений.
- Регулярно делать резервные копии важных данных для возможности быстрого восстановления в случае заражения.
- Своевременно устанавливать все обновления безопасности от разработчиков ПО, так как они часто закрывают уязвимости, эксплуатируемые злоумышленниками.
Обнаруженная активность хакерской группы Konni свидетельствует о постоянном развитии тактики киберпреступников. Использование социальной инженерии через документы-приманки, распространение вредоносного ПО через LNK-файлы и обмен наработками с другими APT-группами — этот набор приёмов является очень эффективным и опасным.
Хотя основные рекомендации экспертов относительно просты, реальность такова, что всё больше угроз способны обойти защиту рядовых пользователей. Поэтому компаниям нужно активно инвестировать как в технические решения типа антивирусов нового поколения, так и в повышение осведомлённости персонала о различных видах кибератак.
Несистемная защита уже не является достаточной, поэтому необходим по-настоящему комплексный подход.