اكتشف باحثو Fortinet حملة Cyberspionage التي تقودها مجموعة تعرف باسم Konni ، والتي سترتبط مع كوريا الشمالية ، والتي تستخدم مستندات الكلمات لمعالجة مستخدمي Windows.
حدد كارا لين ، الباحثة في Fortinet ، محاولة لتوصيل وثيقة Microsoft Word الخبيثة في اللغة الروسية. سيكون المدير مجموعة تقع في كوريا الشمالية ، والمعروفة باسم Konni ، الوثيقة ، من المفترض أن تقدم التقييمات الغربية لعملية عسكرية خاصة ،بمثابة زي للأنشطة الخبيثة التي تحتوي عليها.
يستخدم الهجوم البرامج الضارة على أساس وحدات الماكرو التي ، بمجرد تنشيطها ، تؤدي نص دفعة مؤقتة. يقوم هذا البرنامج النصي بوظائف أساسية ، على وجه الخصوصشيكات النظام ، تجاوز معلمات التحكم في حساب المستخدم (UAC) وأخيرا ،نشر DLL (مكتبة الروابط الديناميكية) لسرقة المعلومات.
اقرأ أيضا -سرق قراصنة كوريا الشمالية 1.54 مليار يورو في العملات المشفرة في عام 2022
يستخدم القراصنة Microsoft Word لسرقة بياناتك
يتضمن الحمولة التي نشرها المتسللين فيروسًا يسمح للوصول عن بُعد (RAT) يسهل استخراج البيانات وتنفيذ عناصر التحكم على أجهزة التسوية. يتضمن البرنامج الضار على وجه الخصوص تجاوز UAC واتصال مشفر مع خادم التحكم والتحكم (C2) ،هذا يسمح للمتسللين بتنفيذ الطلبات على أجهزة الكمبيوتر الخاصة بالضحايا.
جعل Konni نفسه معروفًا باستهدافه المحدد للكيانات الروسية ، باستخدام رسائل البريد الإلكتروني التي تخوض الرمح والمستندات الخبيثة كأدوات رئيسية للوصول إلى المحطات المستهدفة. أظهرت الهجمات السابقة في المجموعة قدرتها على التكيف ، باستخدامالبرامج الضارة المختلفة والأدوات لتجنب جميع أنواع الكشف.
استغلت الهجمات الحديثة التي وثقتها شركة Continecec و Threatmon تعرض WinRar (CVE-2023-38831) بالإضافة إلى البرامج النصية المرئية الأساسية التي تحجبها لإدخال فئران Konni وبرنامج Windows Batch قادر على جمع البيانات من الآلات المصابة.
كوني بعيد عن الممثل الوحيد الكوري الشمالي لمهاجمة روسيا. تظهر الأدلة التي جمعها Kaspersky و Microsoft و Sentinelone أن الجماعية دعتاستهدفت Scarcruft (الاسم المستعار APT37) الشركات التجارية وشركات هندسة الصواريختقع في البلاد.