Se ha observado un nuevo ataque de phishing que aprovecha un documento de Microsoft Word en ruso para entregar malware capaz de recopilar información confidencial de hosts de Windows comprometidos.
La actividad se ha atribuido a un actor de amenazas llamado Konnique se considera que comparte superposiciones con un grupo norcoreano rastreado como Kimsuky (también conocido como APT43).
«Esta campaña se basa en un troyano de acceso remoto (RAT) capaz de extraer información y ejecutar comandos en dispositivos comprometidos», afirma Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho en un análisis publicado esta semana.
El grupo de ciberespionaje destaca por su apuntando a Rusiacuyo modus operandi implica el uso de correos electrónicos de phishing y documentos maliciosos como puntos de entrada para sus ataques.
Los ataques recientes documentados por Knowsec y ThreatMon han aprovechado la vulnerabilidad WinRAR (CVE-2023-38831), así como scripts ofuscados de Visual Basic para eliminar konni rata y un script de Windows Batch capaz de recopilar datos de las máquinas infectadas.
«Los objetivos principales de Konni incluyen la filtración de datos y la realización de actividades de espionaje», ThreatMon dicho. «Para lograr estos objetivos, el grupo emplea una amplia gama de malware y herramientas, adaptando con frecuencia sus tácticas para evitar la detección y la atribución».
La última secuencia de ataque observada por Fortinet involucra un documento Word con macros que, cuando está habilitado, muestra un artículo en ruso que supuestamente trata sobre «Evaluaciones occidentales del progreso de la operación militar especial».
Posteriormente, la macro de Visual Basic para aplicaciones (VBA) procede a iniciar un script por lotes provisional que realiza comprobaciones del sistema, omite el control de cuentas de usuario (UAC) y, en última instancia, allana el camino para la implementación de un archivo DLL que incorpora capacidades de recopilación y exfiltración de información.
«La carga útil incorpora una derivación de UAC y comunicación cifrada con un servidor C2, lo que permite al actor de amenazas ejecutar comandos privilegiados», dijo Lin.
Konni está lejos de ser el único actor de amenazas norcoreano que señala a Rusia. La evidencia reunida por Kaspersky, Microsoft y SentinelOne muestra que el colectivo adversario denominado ScarCruft (también conocido como APT37) también ha apuntado a empresas comerciales y de ingeniería de misiles ubicadas en el país.
La divulgación también llega menos de dos semanas después de que Solar, el brazo de ciberseguridad de la empresa de telecomunicaciones estatal rusa Rostelecom, revelara que los actores de amenazas de Asia –principalmente los de China y Corea del Norte– representaron la mayoría de los ataques contra la infraestructura del país.
«El grupo norcoreano Lazarus también está muy activo en el territorio de la Federación Rusa», afirma la empresa. dicho. «A principios de noviembre, los hackers de Lazarus todavía tenían acceso a varios sistemas rusos.»