Аналитики угроз обнаружили новую кампанию, приписываемую северокорейской группе хакеров APT37, нацеленную на крупные организации в Чехии, Польше и других европейских странах.
В этой кампании хакеры используют вредоносное ПО, известное как Konni, троян удаленного доступа (RAT), способный установить постоянство и повысить привилегии на хосте.
Konni был связан с северокорейскими кибератаками с 2014 года, а совсем недавно он был замечен в кампании целевого фишинга, нацеленной на Министерство иностранных дел России.
За последней и все еще продолжающейся кампанией наблюдали и анализировали исследователи из Securonix, которые назвали ее STIFF#BIZON, и она напоминает тактику и методы, соответствующие операционной сложности APT.
Атака начинается с получения фишингового письма с вложенным архивом, содержащим документ Word (missile.docx) и файл ярлыка Windows (_weapons.doc.lnk.lnk).
Когда файл LNK открыт, код запускается, чтобы найти сценарий PowerShell в кодировке base64 в файле DOCX, чтобы установить связь C2 и загрузить два дополнительных файла, «weapons.doc» и «wp.vbs».
