Se ha observado un nuevo ataque de phishing que aprovecha un documento de Microsoft Word en ruso para entregar malware capaz de recopilar informaci\u00f3n confidencial de hosts de Windows comprometidos.<\/p>\n
La actividad se ha atribuido a un actor de amenazas llamado Konni<\/b>que se considera que comparte superposiciones con un grupo norcoreano rastreado como Kimsuky (tambi\u00e9n conocido como APT43).<\/p>\n
“Esta campa\u00f1a se basa en un troyano de acceso remoto (RAT) capaz de extraer informaci\u00f3n y ejecutar comandos en dispositivos comprometidos”, afirma Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho<\/a> en un an\u00e1lisis publicado esta semana.<\/p>\n El grupo de ciberespionaje destaca por su apuntando a Rusia<\/a>cuyo modus operandi implica el uso de correos electr\u00f3nicos de phishing y documentos maliciosos como puntos de entrada para sus ataques.<\/p>\n Los ataques recientes documentados por Knowsec y ThreatMon han aprovechado la vulnerabilidad WinRAR (CVE-2023-38831), as\u00ed como scripts ofuscados de Visual Basic para eliminar konni rata<\/a> y un script de Windows Batch capaz de recopilar datos de las m\u00e1quinas infectadas.<\/p>\n “Los objetivos principales de Konni incluyen la filtraci\u00f3n de datos y la realizaci\u00f3n de actividades de espionaje”, ThreatMon dicho<\/a>. “Para lograr estos objetivos, el grupo emplea una amplia gama de malware y herramientas, adaptando con frecuencia sus t\u00e1cticas para evitar la detecci\u00f3n y la atribuci\u00f3n”.<\/p>\n La \u00faltima secuencia de ataque observada por Fortinet involucra un documento Word con macros que, cuando est\u00e1 habilitado, muestra un art\u00edculo en ruso que supuestamente trata sobre “Evaluaciones occidentales del progreso de la operaci\u00f3n militar especial”.<\/p>\n Posteriormente, la macro de Visual Basic para aplicaciones (VBA) procede a iniciar un script por lotes provisional que realiza comprobaciones del sistema, omite el control de cuentas de usuario (UAC) y, en \u00faltima instancia, allana el camino para la implementaci\u00f3n de un archivo DLL que incorpora capacidades de recopilaci\u00f3n y exfiltraci\u00f3n de informaci\u00f3n.<\/p>\n “La carga \u00fatil incorpora una derivaci\u00f3n de UAC y comunicaci\u00f3n cifrada con un servidor C2, lo que permite al actor de amenazas ejecutar comandos privilegiados”, dijo Lin.<\/p>\n Konni est\u00e1 lejos de ser el \u00fanico actor de amenazas norcoreano que se\u00f1ala a Rusia. La evidencia reunida por Kaspersky, Microsoft y SentinelOne muestra que el colectivo adversario denominado ScarCruft (tambi\u00e9n conocido como APT37) tambi\u00e9n ha apuntado a empresas comerciales y de ingenier\u00eda de misiles ubicadas en el pa\u00eds.<\/p>\n La divulgaci\u00f3n tambi\u00e9n llega menos de dos semanas despu\u00e9s de que Solar, el brazo de ciberseguridad de la empresa de telecomunicaciones estatal rusa Rostelecom, revelara que los actores de amenazas de Asia \u2013principalmente los de China y Corea del Norte\u2013 representaron la mayor\u00eda de los ataques contra la infraestructura del pa\u00eds.<\/p>\n “El grupo norcoreano Lazarus tambi\u00e9n est\u00e1 muy activo en el territorio de la Federaci\u00f3n Rusa”, afirma la empresa. dicho<\/a>. “A principios de noviembre, los hackers de Lazarus todav\u00eda ten\u00edan acceso a varios sistemas rusos.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Konni-Group-utiliza-documentos-de-Word-maliciosos-en-ruso-en.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n