28/11/23
Компания FortiGuard Labs обнаружила, что связанная с Северной Кореей группа APT-группа Konni использует заражённый документ Word в рамках текущей фишинговой кампании. Об этом пишет Securitylab.
Konni впервые была обнаружена Cisco Talos в 2017 году, однако троян Konni RAT существует с 2014 года и до 2017 года оставался незаметным, так как использовался в узконаправленных атаках. Троян удалённого доступа (Remote Access Trojan, RAT) Konni RAT умудрялся избегать обнаружения благодаря постоянному эволюционированию, способен выполнять произвольный код на целевых системах и красть данные.
В текущей кампании злоумышленники используют RAT-троян для извлечения информации и выполнения команд на устройствах жертв. В атаках используется документ Word с вредоносным макросом. Несмотря на дату создания документа в сентябре, деятельность на сервере управления и контроля (Command and Control, C2) продолжается по сей день, что видно из внутренней телеметрии.
При открытии документа появляется желтая строка с предложением «Включить содержимое». После включения макроса встроенный VBA запускает скрипт «check.bat» с параметром «vbHide», чтобы избежать появления окна командной строки у жертвы. Batch скрипт проводит проверки системы и обходит контроль учетных записей пользователя (User Account Control, UAC). Затем скрипт выполняет действия по развертыванию DLL-файла, который собирает и эксфильтрует зашифрованные данные на C2-сервер.
Специалисты заключили, что полезная нагрузка Konni включает обход системы UAC и зашифрованное взаимодействие с C2-сервером, что позволяет злоумышленнику выполнять привилегированные команды. Поскольку вредоносный код продолжает развиваться, пользователям рекомендуется проявлять осторожность с подозрительными документами.
