Header Ads Widget

APT de Corea del Norte apunta a países europeos con Konni RAT

 

APT de Corea del Norte apunta a países europeos con Konni RAT

Los investigadores de Securonix detallaron una campaña en curso contra varios países europeos, donde los piratas informáticos vinculados a Corea del Norte (APT37) están atacando cibernéticamente con Konni RAT.

Llamaron a la campaña STIFF#BIZON y dicen que Konni RAT se ha utilizado para robar datos, implementar cargas maliciosas, etc., de organizaciones de alto valor en los países objetivo. Además de APT37, los investigadores también atribuyeron esta campaña a APT28, también conocido como Fancy Bear, una APT rusa.

APT usando Konni RAT para reconocimiento

En lo que se denomina un ataque continuo contra organizaciones de alto nivel en varios países europeos, los investigadores de Securonix notaron que los piratas informáticos están utilizando Konni RAT, que se ha vinculado a equipos patrocinados por el estado de Corea del Norte desde 2014.

Llamaron a esta campaña STIFF#BIZON y vincularon a los atacantes con APT37 , una APT de Corea del Norte. Pero también, las tácticas y la infraestructura utilizadas en esta campaña los vinculan también a APT28 (también conocido como Fancy Bear), un APT ruso.

Esta campaña comienza con un correo electrónico de phishing, que tiene un archivo adjunto de un documento de Word (missile.docx) y un archivo de acceso directo de Windows (_weapons.doc.lnk.lnk). Al abrir el archivo Ink, se ejecutará un código para encontrar un script de PowerShell codificado en base64 en el archivo DOCX que se incluye, para establecer la comunicación C2 con el hacker.

Esto también les ayudará a descargar dos archivos adicionales, 'weapons.doc' y 'wp.vbs'. Si bien el documento de armas es una lista simple de Olga Bozheva, una corresponsal de guerra rusa, el archivo VBS se ejecuta en segundo plano para crear una tarea programada en el host.

En este proceso, traen a Konni RAT para realizar las siguientes operaciones;

  • Capture capturas de pantalla con la API Win32 GDI y explíquelas en formato GZIP.
  • Extraiga las claves de estado almacenadas en el archivo de estado local para el descifrado de la base de datos de cookies, útil para omitir MFA.
  • Extraiga las credenciales guardadas de los navegadores web de la víctima.
  • Inicie un shell interactivo remoto que puede ejecutar comandos cada 10 segundos.

Para evitar esto, los investigadores señalaron las técnicas de detección y las medidas de mitigación  en su blog .

Publicar un comentario

0 Comentarios