Un recente attacco di phishing, utilizzando un documento Microsoft Word in lingua russa, ha destato preoccupazione nel mondo della sicurezza informatica. Questo attacco è stato attribuito al gruppo di minaccia noto come Konni, che sembra avere collegamenti con il cluster nordcoreano Kimsuky (noto anche come APT43).
Strategie e obiettivi del Gruppo Konni
Il gruppo Konni è noto per il suo targeting specifico verso la Russia, utilizzando email di spear-phishing e documenti malevoli come punti di ingresso per i loro attacchi. L’obiettivo principale di Konni include l’esfiltrazione di dati e attività di spionaggio. Per raggiungere questi scopi, il gruppo impiega un’ampia gamma di malware e strumenti, adattando frequentemente le proprie tattiche per evitare rilevamento e attribuzione.
Tecniche di attacco e malware utilizzati
Gli attacchi recenti documentati da Knowsec e ThreatMon hanno sfruttato la vulnerabilità WinRAR (CVE-2023-38831) e script Visual Basic offuscati per distribuire il Konni RAT e uno script Batch di Windows in grado di raccogliere dati dalle macchine infette. Il RAT (Remote Access Trojan) utilizzato è in grado di estrarre informazioni ed eseguire comandi sui dispositivi compromessi.
Dettagli dell’attacco e misure di sicurezza
L’attacco più recente osservato da Fortinet coinvolge un documento Word con macro, che, una volta abilitato, mostra un articolo in russo apparentemente riguardante “Valutazioni occidentali del Progresso dell’Operazione Militare Speciale”. La macro VBA procede poi a lanciare uno script Batch intermedio che esegue controlli di sistema, bypass del Controllo dell’Account Utente (UAC) e infine prepara il terreno per il dispiegamento di un file DLL che incorpora capacità di raccolta e esfiltrazione di informazioni.
Attività di gruppi Nordcoreani in Russia
Konni non è l’unico attore di minacce nordcoreano a prendere di mira la Russia, ma il Phishing è notevole in questo caso. Evidenze raccolte da Kaspersky, Microsoft e SentinelOne mostrano che il collettivo avversario noto come ScarCruft (o APT37) ha anche preso di mira società commerciali e imprese di ingegneria missilistica situate nel paese. Inoltre, meno di due settimane fa, Solar, il braccio di cybersecurity della compagnia di telecomunicazioni statale russa Rostelecom, ha rivelato che gli attori di minacce provenienti dall’Asia – principalmente dalla Cina e dalla Corea del Nord – hanno rappresentato la maggior parte degli attacchi contro l’infrastruttura del paese.