Une nouvelle attaque de phishing a été observée, exploitant un document Microsoft Word en russe pour diffuser un logiciel malveillant capable de collecter des informations sensibles sur des hôtes Windows compromis.
L’activité a été attribuée à un acteur menaçant appelé Konniqui partage des chevauchements avec un cluster nord-coréen suivi sous le nom de Kimsuky (alias APT43).
« Cette campagne s’appuie sur un cheval de Troie d’accès à distance (RAT) capable d’extraire des informations et d’exécuter des commandes sur des appareils compromis », Cara Lin, chercheuse chez Fortinet FortiGuard Labs. dit dans une analyse publiée cette semaine.
Le groupe de cyberespionnage se distingue par son ciblage de la Russieavec un mode opératoire impliquant l’utilisation d’e-mails de spear phishing et de documents malveillants comme points d’entrée pour leurs attaques.
Les attaques récentes documentées par Knowsec et ThreatMon ont exploité la vulnérabilité WinRAR (CVE-2023-38831) ainsi que les scripts Visual Basic obscurcis pour supprimer Konni RAT et un script Windows Batch capable de collecter les données des machines infectées.
« Les principaux objectifs de Konni incluent l’exfiltration de données et la conduite d’activités d’espionnage », ThreatMon dit. « Pour atteindre ces objectifs, le groupe utilise un large éventail de logiciels malveillants et d’outils, adaptant fréquemment ses tactiques pour éviter la détection et l’attribution. »
La dernière séquence d’attaque observée par Fortinet implique un document Word macro qui, lorsqu’il est activé, affiche un article en russe prétendument sur les « évaluations occidentales des progrès de l’opération militaire spéciale ».
La macro Visual Basic pour Application (VBA) lance ensuite un script Batch provisoire qui effectue des vérifications du système, contourne le contrôle de compte d’utilisateur (UAC) et ouvre finalement la voie au déploiement d’un fichier DLL intégrant des capacités de collecte et d’exfiltration d’informations.
« La charge utile intègre un contournement UAC et une communication cryptée avec un serveur C2, permettant à l’acteur malveillant d’exécuter des commandes privilégiées », a déclaré Lin.
Konni est loin d’être le seul acteur menaçant nord-coréen à cibler la Russie. Les preuves recueillies par Kaspersky, Microsoft et SentinelOne montrent que le collectif antagoniste appelé ScarCruft (alias APT37) a également ciblé des sociétés commerciales et des sociétés d’ingénierie de missiles situées dans le pays.
La divulgation intervient également moins de deux semaines après que Solar, la branche cybersécurité de la société de télécommunications publique russe Rostelecom, a révélé que les acteurs menaçants venus d’Asie – principalement ceux de Chine et de Corée du Nord – représentaient la majorité des attaques contre les infrastructures du pays.
« Le groupe nord-coréen Lazarus est également très actif sur le territoire de la Fédération de Russie », précise la société. dit. « Début novembre, les pirates de Lazarus ont toujours accès à un certain nombre de systèmes russes. »