Вооружены Konni RAT и очень опасны: северокорейская APT37 атакует крупные европейские компании

Вооружены Konni RAT и очень опасны: северокорейская APT37 атакует крупные европейские компании

Исследователи назвали вредоносную кампанию STIFF#BIZON.

image

Исследователи из команды Securonix Threat Research (STR) обнаружили новую вредоносную кампанию, названную STIFF#BIZON и направленную на крупные организации в нескольких европейских странах. Эксперты связывают эту кампанию с северокорейской группировкой APT37 . Злоумышленники используют Konni RAT (троян удаленного доступа), который с 2014 по 2017 год оставался незамеченным, так как использовался в узконаправленных атаках. Троян умеет избегать обнаружения благодаря постоянной “эволюции”, выполнять произвольный код на зараженных системах и красть данные.

Атака начинается с фишинговых сообщений, к которым приложено вредоносное вложение, представляющее собой архив, содержащий документ Word (missile.docx) и shortcut-файл (_weapons.doc.lnk.lnk).

Как только жертва кликает на LNK-файл, начинается цепочка заражения:

  • Запускается код, который находит в docx-файле PowerShell-скрипт, закодированный в Base64;

  • Устанавливается связь с C&C-сервером злоумышленников;

  • С C&C-сервера загружаются и выполняются файлы "weapons.doc" и "wp.vbs";

  • Файл weapons.doc – документ-обманка, который привлекает к себе внимание, пока файл wp.vbs незаметно запускается в фоновом режиме;

  • Запустившись, wp.vbs создает запланированную задачу под названием “Office Update” на устройстве жертвы, которая выполняет PowerShell-скрипт, закодированный в Base64;

  • Вместе с этим устанавливается C&C-связь, позволяющая злоумышленникам получить доступ к системе жертвы.

Развернув Konni RAT в системе жертвы, хакеры могут загрузить специальные модули, чтобы получить дополнительные возможности:

  • Capture.net.exe – позволяет делать скриншоты с помощью Win32 GDI API и выгружать их в формате gzip на C&C-сервер злоумышленников;

  • chkey.net.exe – дает возможность извлечь зашифрованные ключи, хранящиеся в файле Local State. Эти ключи позволяют злоумышленникам дешифровать базу данных cookie, что облегчает обход многофакторной аутентификации.

  • pull.net.exe – позволяет извлечь сохраненные учетные данные из браузеров жертвы.

  • shell.net.exe – создает удаленную интерактивную оболочку, которая позволяет выполнять произвольные команды каждые 10 секунд.

Чтобы закрепиться в системе, злоумышленники используют модифицированную версию Konni, загружающую .cab-файл, содержащий в себе несколько файлов с вредоносным ПО.

В заключении отчета эксперты выдвинули предположение, что под маской APT37 может скрываться российская хакерская группировка APT28 . Такие выводы были сделаны на основе анализа IP-адресов, хостинг-провайдеров, имен хостов и технических приемов, похожих на методы APT28.

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!