Konni adlı bir Kuzey Koreli siber casusluk grubu, Windows sistemlerini kötü amaçlı yazılımlarla tehlikeye atmak için Yeni Yıl cazibesiyle Rusya Federasyonu Dışişleri Bakanlığı’na (MID) yönelik bir dizi hedefli saldırıya bağlandı.
Lumen Technologies’in Black Lotus Laboratuarlarından araştırmacılar, “Bu etkinlik kümesi, algılanan yüksek değerli ağlara karşı çok aşamalı kampanyalar yürüten ileri düzey aktörlerin sabırlı ve ısrarcı doğasını gösteriyor.” söz konusu The Hacker News ile paylaşılan bir analizde.
Konni grubunun taktikleri, teknikleri ve prosedürlerinin (TTP’ler), Velvet Chollima, ITG16, Black Banshee ve Thallium takma adları altında siber güvenlik topluluğu tarafından da izlenen daha geniş Kimsuky şemsiyesine ait tehdit aktörleriyle örtüştüğü bilinmektedir.
En son saldırılar, aktörün çalınan kimlik bilgileri aracılığıyla hedef ağlara erişim elde etmesini, faaliyetin erken belirtileriyle istihbarat toplama amacıyla kötü amaçlı yazılım yüklemek için dayanak noktasını kullanmasını içeriyordu. belgelenmiş MalwareBytes tarafından Temmuz 2021’e kadar.
Kimlik avı kampanyasının müteakip yinelemelerinin üç dalgada ortaya çıktığına inanılıyor – ilki 19 Ekim 2021’de MID personelinden kimlik bilgilerini toplamak için başladı ve ardından Kasım ayında Rusya’nın zorunlu kıldığı sahtekarlığın haydut bir sürümünü yüklemek için COVID-19 temalı cazibelerden yararlandı. ek yükler için bir yükleyici görevi gören aşı kayıt yazılımı.
“Bu faaliyetin zamanlaması, Rus Aşı Pasaport yasaları Rusların restoran ve barlar gibi halka açık yerlere girebilmeleri için aşıyı kanıtlamak için hükümetten bir QR kodu almaları gerekiyordu” dedi.
Üçüncü saldırı, aynı zamanda tarafından da doğrulandı. küme25 Bu haftanın başlarında, 20 Aralık 2021’de Yeni Yıl şenliklerini hedef odaklı kimlik avı teması olarak kullanarak çok aşamalı bir virüs bulaşma zincirini tetiklemek için bir uzaktan erişim trojanının yüklenmesiyle sonuçlanan bir şekilde başladı. Konni RAT.
Spesifik olarak, izinsiz girişler, önce MID’nin bir personeline ait e-posta hesabının ele geçirilmesiyle ortaya çıktı ve bu hesaptan e-postalar, Endonezya’daki Rusya Büyükelçiliği ve Endonezya’daki Rusya Büyükelçiliği dahil olmak üzere en az iki MID kuruluşuna gönderildi. Sergey Alekseyeviç Ryabkov, nükleer silahların yayılmasını önleme ve silah kontrolünü denetleyen bir bakan yardımcısı.
E-posta mesajları görünüşte bir “Yeni Yılınız Kutlu Olsun” mesajını yaydı, yalnızca uzak bir sunucudan sonraki aşama yürütülebilir dosyalarını almak ve çalıştırmak için tasarlanmış truva atlı bir ekran koruyucu eki içeriyordu. Saldırının son aşaması, virüslü makinenin keşfini gerçekleştiren ve toplanan bilgileri sunucuya geri sızdıran Konni RAT truva atının konuşlandırılmasıdır.
Araştırmacı, “Bu özel kampanya yüksek oranda hedeflenmiş olsa da, savunucuların, gıpta edilen hedeflere bulaşmayı sağlamak için gelişmiş aktörlerin gelişen yeteneklerini anlamaları hayati önem taşıyor” dedi ve kuruluşları kimlik avı e-postalarına dikkat etmeye ve güvenliği sağlamak için çok faktörlü kimlik doğrulamayı kullanmaya çağırdı. hesaplar.
.
siber-2
