Північнокорейська хакерське угрупування Konni APT проводить фішингові кампанії, спрямовані на державні установи України. Про це повідомляє американська компанія Proofpoint, що спеціалізується на корпоративній безпеці.
Північнокорейська хакерське угрупування Konni APT проводить фішингові кампанії, спрямовані на державні установи України. Про це повідомляє американська компанія Proofpoint, що спеціалізується на корпоративній безпеці.
Konni APT, також відома як Opal Sleet, Osmium, TA406 та Vedalia, — це група кібершпигунства, яка має історію атак на установи в Південній Кореї, Сполучених Штатах та росії. Працює щонайменше з 2014 року.
Зафіксований набір атак передбачає використання фішингових електронних листів, які видають себе за вигаданого старшого співробітника аналітичного центру під назвою Королівський інститут стратегічних досліджень, який є вигаданою організацією, пише The Hacker News.
Електронні листи містять посилання на захищений паролем RAR-архів, розміщений у хмарному сервісі MEGA. Відкриття RAR-архіву за допомогою пароля, зазначеного в тілі повідомлення, запускає послідовність зараження, розроблену для проведення масштабної розвідки скомпрометованих машин.
Зокрема, в архіві RAR присутній CHM-файл, який відображає контент-приманку, пов’язану з Валерієм Залужним. Якщо жертва клацає будь-де на сторінці, виконується команда PowerShell, вбудована в HTML, щоб зв’язатися із зовнішнім сервером та завантажити наступний пакет PowerShell.
Запущений скрипт PowerShell здатний виконувати різні команди для збору інформації про систему, кодування її за допомогою Base64 та надсилання на той самий сервер.
«Хакери надсилали кілька фішингових електронних листів протягом кількох днів поспіль. Коли жертва не натискала на посилання, її запитували, чи отримувала вона попередні електронні листи та чи завантажить файли», — сказали дослідники.
Proofpoint також повідомила, що спостерігала, як HTML-файл безпосередньо розповсюджувався як вкладення до фішингових повідомлень. У цьому варіанті атаки жертві доручають натиснути на вбудоване посилання у HTML-файлі, що призводить до завантаження ZIP-архіву, який містить безпечний PDF-файл та файл ярлика Windows (LNK).
Коли LNK запускається, він виконує PowerShell, закодований у Base64, щоб видалити файл Javascript під назвою «Themes.jse» за допомогою сценарію Visual Basic. Шкідливе програмне забезпечення JSE, у свою чергу, зв’язується з URL-адресою, контрольованою хакерами, і запускає відповідь із сервера через PowerShell. Точний характер корисного навантаження наразі невідомий.
Крім того, було помічено, що TA406 намагається зібрати облікові дані, надсилаючи фальшиві повідомлення безпеки Microsoft українським урядовим установам з облікових записів ProtonMail, попереджаючи їх про підозрілу активність входу з IP-адрес, розташованих у Сполучених Штатах, і закликаючи їх підтвердити вхід, перейшовши за посиланням.
Хоча сторінку збору облікових даних не було відновлено, той самий скомпрометований домен, як кажуть, використовувався в минулому для збору інформації для входу в Naver.
«Дуже ймовірно, що TA406 збирає розвідувальні дані, щоб допомогти північнокорейському керівництву визначити поточний ризик для своїх військ, які вже беруть участь у військових діях, а також ймовірність того, що росія попросить більше військ або озброєнь», — пояснюють компанія Proofpoint.
«На відміну від російських груп, яким, ймовірно, доручено збирати тактичну інформацію про поле бою та виявляти цілі проти українських сил на місці, TA406 зазвичай зосереджується на більш стратегічних зусиллях зі збору політичної розвідки», — додали кіберфахівці.
