Grupul nord-coreean Konni APT vizează Ucraina cu programe malware pentru a urmări progresul invaziei rusești
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Konni APT, cunoscut și sub pseudonime precum Opal Sleet, Osmium, TA406 și Vedalia, este un grup nord-coreean de spionaj cibernetic cu un talent special pentru a viza entități de mare valoare. Activ de peste un deceniu, aceștia și-au îndreptat atenția către Coreea de Sud, Statele Unite, Rusia și acum Ucraina. Arma lor preferată este Konni RAT (troian de acces la distanță), alias UpDog, un malware versatil care le permite să spioneze, să fure și să controleze sistemele compromise.
Potrivit Proofpoint, o firmă de top în domeniul securității informatice, cea mai recentă campanie a Konni, care a început în februarie 2025, se concentrează pe colectarea de informații despre „traiectoria invaziei rusești” în Ucraina, relatează BleepingComputer. Dar nu este vorba despre hărți ale câmpului de luptă sau mișcări de trupe – este vorba despre perspective strategice, posibil pentru a evalua următoarele mișcări ale Rusiei în regiune. Geopolitica se întâlnește cu criminalitatea cibernetică.
Momeala de phishing: Un grup de experți fals și un fișier RAR periculos
Atacatorii folosesc e-mailuri de phishing care se dau drept grupuri de experți, făcând referire la evenimente politice importante sau evoluții militare pentru a-și atrage țintele.
Cercetătorii Proofpoint care au descoperit activitatea în februarie 2025 sugerează că este probabil un efort de a sprijini implicarea militară a RPDC alături de Rusia în Ucraina și de a evalua statutul politic care stă la baza conflictului.
„Proofpoint evaluează că TA406 vizează entități guvernamentale ucrainene pentru a înțelege mai bine dorința de a continua lupta împotriva invaziei rusești și pentru a evalua perspectivele pe termen mediu ale conflictului”, explică cercetătorii.
„Coreea de Nord a angajat trupe pentru a ajuta Rusia în toamna anului 2024, iar TA406 este foarte probabil să colecteze informații pentru a ajuta conducerea nord-coreeană să determine riscul actual pentru forțele sale deja aflate în teatru, precum și probabilitatea ca Rusia să solicite mai multe trupe sau armament.”
Modalitatea de atac
E-mailurile rău intenționate trimise către ținte se dau drept membri ai unor grupuri de experți fictive, care se ocupă de probleme cheie precum demiterea recentă a unor lideri militari sau alegerile prezidențiale din Ucraina.
Atacatorii folosesc servicii gratuite de e-mail precum Gmail, ProtonMail și Outlook pentru a trimite în mod repetat mesaje către țintele lor, îndemnându-le să dea clic pe link.
Acest lucru duce victimele la o descărcare găzduită de MEGA care plasează pe sistemele lor o arhivă .RAR protejată prin parolă (Analytical Report.rar), care conține un fișier .CHM cu același nume.
Deschiderea arhivei declanșează un script PowerShell încorporat, care descarcă un alt script PowerShell-ul pentru etapa următoare a atacului, care captează informații de recunoaștere de la gazda infectată și stabilește persistența.
Proofpoint a observat, de asemenea, variante care utilizează atașamente HTML, abandonând arhive ZIP care conțin PDF-uri benigne și fișiere LNK rău intenționate, ceea ce duce la executarea PowerShell și VBScript.
Proofpoint nu a putut recupera sarcina utilă finală în aceste atacuri, despre care se crede că este un fel de malware/backdoor care facilitează operațiunile de spionaj.
Cercetătorii au remarcat, de asemenea, că Konni a executat anterior atacuri pregătitoare, vizând aceleași persoane și încercând să obțină acreditări de cont pe care le-ar putea folosi pentru a deturna conturi.
Aceste încercări au implicat e-mailuri care falsificau alertele de securitate Microsoft, susținând „activitate neobișnuită de conectare” și solicitând destinatarului să își verifice datele de conectare pe un site de phishing la adresa „jetmf[.]com”.
Vizarea de către Coreea de Nord a entităților guvernamentale ucrainene adaugă o nouă dimensiune câmpului de luptă deja complex al securității cibernetice al țării, care a fost dominat de atacuri neobosite sponsorizate de statul rusesc de la începutul invaziei.
