Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Вооружены Konni RAT и очень опасны: северокорейская APT37 атакует крупные европейские компании

26/07/22

RAT

Исследователи из команды Securonix Threat Research (STR) обнаружили новую вредоносную кампанию, названную STIFF#BIZON и направленную на крупные организации в нескольких европейских странах. Эксперты связывают эту кампанию с северокорейской группировкой APT37.

Злоумышленники используют Konni RAT (троян удаленного доступа), который с 2014 по 2017 год оставался незамеченным, так как использовался в узконаправленных атаках, согласно Securitylab. Троян умеет избегать обнаружения благодаря постоянной “эволюции”, выполнять произвольный код на зараженных системах и красть данные.

Атака начинается с фишинговых сообщений, к которым приложено вредоносное вложение, представляющее собой архив, содержащий документ Word (missile.docx) и shortcut-файл (_weapons.doc.lnk.lnk).

Как только жертва кликает на LNK-файл, начинается цепочка заражения:

  • Запускается код, который находит в docx-файле PowerShell-скрипт, закодированный в Base64;
  • Устанавливается связь с C&C-сервером злоумышленников;
  • С C&C-сервера загружаются и выполняются файлы "weapons.doc" и "wp.vbs";
  • Файл weapons.doc – документ-обманка, который привлекает к себе внимание, пока файл wp.vbs незаметно запускается в фоновом режиме;
  • Запустившись, wp.vbs создает запланированную задачу под названием “Office Update” на устройстве жертвы, которая выполняет PowerShell-скрипт, закодированный в Base64;
  • Вместе с этим устанавливается C&C-связь, позволяющая злоумышленникам получить доступ к системе жертвы.

Развернув Konni RAT в системе жертвы, хакеры могут загрузить специальные модули, чтобы получить дополнительные возможности:

  • Capture.net.exe – позволяет делать скриншоты с помощью Win32 GDI API и выгружать их в формате gzip на C&C-сервер злоумышленников;
  • chkey.net.exe – дает возможность извлечь зашифрованные ключи, хранящиеся в файле Local State. Эти ключи позволяют злоумышленникам дешифровать базу данных cookie, что облегчает обход многофакторной аутентификации.
  • pull.net.exe – позволяет извлечь сохраненные учетные данные из браузеров жертвы.
  • shell.net.exe – создает удаленную интерактивную оболочку, которая позволяет выполнять произвольные команды каждые 10 секунд.

Чтобы закрепиться в системе, злоумышленники используют модифицированную версию Konni, загружающую .cab-файл, содержащий в себе несколько файлов с вредоносным ПО.

В заключении отчета эксперты выдвинули предположение, что под маской APT37 может скрываться российская хакерская группировка APT28 . Такие выводы были сделаны на основе анализа IP-адресов, хостинг-провайдеров, имен хостов и технических приемов, похожих на методы APT28.
Темы:ПреступленияAPT-группыКНДРRAT

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...