Non esistono solo i russi nel mondo degli APT come raccontato nella nostra rubrica Guerra Cibernetica. Un gruppo di spionaggio informatico nordcoreano di nome Konni è stato collegato a una serie di attacchi mirati diretti al Ministero degli Affari Esteri della Federazione Russa (MID) con esche a tema “Capodanno” per compromettere i sistemi Windows con malware. “Questo gruppo di attività dimostra la natura paziente e persistente di attori avanzati nel condurre campagne multifase contro reti percepite di alto valore“, hanno affermato i ricercatori dei Black Lotus Labs di Lumen Technologies in un’analisi rilasciata in esclusiva a The Hacker News.
È noto che le tattiche, le tecniche e le procedure (TTP) del gruppo Konni si sovrappongono agli attori delle minacce appartenenti al più ampio ombrello Kimsuky, che viene anche monitorato dalla comunità della sicurezza informatica sotto i moniker Velvet Chollima, ITG16, Black Banshee e Thallium.
Gli attacchi più recenti hanno coinvolto l’attore nell’ottenere l’accesso alle reti di destinazione tramite credenziali rubate, sfruttando il punto d’appoggio per caricare malware a scopo di raccolta di informazioni, con i primi segni dell’attività documentata da MalwareBytes nel luglio 2021.
Si ritiene che le successive iterazioni della campagna di phishing si siano svolte in tre ondate: la prima a partire dal 19 ottobre 2021 per raccogliere le credenziali dal personale MID, seguita dall’utilizzo di esche a tema COVID-19 a novembre per installare una versione canaglia del mandato russo software di registrazione delle vaccinazioni che fungeva da caricatore per carichi utili aggiuntivi.
“I tempi di questa attività sono strettamente allineati con l’approvazione delle leggi sul passaporto russo per i vaccini che obbligavano i russi a ricevere un codice QR dal governo per dimostrare la vaccinazione al fine di accedere a luoghi pubblici come ristoranti e bar“, hanno osservato i ricercatori.
Il terzo attacco, confermato anche da Cluster25 all’inizio di questa settimana, è iniziato il 20 dicembre 2021, utilizzando i festeggiamenti di Capodanno come tema di spear-phishing per innescare una catena di infezioni in più fasi che è culminata nell’installazione di un trojan di accesso remoto chiamato Konni RATTO.
Nello specifico, le intrusioni sono emerse compromettendo dapprima l’account di posta elettronica appartenente a un membro del personale del MID, dal quale sono state inviate e-mail ad almeno altre due entità MID, tra cui l’ambasciata russa in Indonesia e Sergey Alexeyevich Ryabkov, un vice ministro che sovrintende proliferazione e controllo degli armamenti.
Le missive e-mail apparentemente propagavano un messaggio di “Felice anno nuovo“, solo per contenere un allegato salvaschermo trojanizzato progettato per recuperare ed eseguire eseguibili di fase successiva da un server remoto. La fase finale dell’attacco è il dispiegamento del trojan Konni RAT, che effettua la ricognizione della macchina infetta ed esfiltra le informazioni raccolte sul server.
“Sebbene questa particolare campagna fosse altamente mirata, è fondamentale che i difensori comprendano le capacità in evoluzione degli attori avanzati per raggiungere l’infezione di obiettivi ambiti“, ha affermato il ricercatore, esortando le organizzazioni a prestare attenzione alle e-mail di phishing e utilizzare l’autenticazione a più fattori per proteggere conti.
