Северокорейские хакеры атакуют цели в ЕС с помощью вредоносного ПО Konni RAT

 

Аналитики угроз обнаружили новую кампанию, приписываемую северокорейской группе хакеров APT37, нацеленную на крупные организации в Чехии, Польше и других европейских странах.

В этой кампании хакеры используют вредоносное ПО, известное как Konni, троян удаленного доступа (RAT), способный установить постоянство и повысить привилегии на хосте.

Konni был связан с северокорейскими кибератаками с 2014 года, а совсем недавно он был замечен в кампании целевого фишинга, нацеленной на Министерство иностранных дел России.

За последней и все еще продолжающейся кампанией наблюдали и анализировали исследователи из Securonix, которые назвали ее STIFF#BIZON, и она напоминает тактику и методы, соответствующие операционной сложности APT.

Атака начинается с получения фишингового письма с вложенным архивом, содержащим документ Word (missile.docx) и файл ярлыка Windows (_weapons.doc.lnk.lnk).

Когда файл LNK открыт, код запускается, чтобы найти сценарий PowerShell в кодировке base64 в файле DOCX, чтобы установить связь C2 и загрузить два дополнительных файла, «weapons.doc» и «wp.vbs».