هکر های کره شمالی اهداف اروپایی را با بدافزار Konni هدف میگیرند.

هکر های کره شمالی اهداف اروپایی را با بدافزار Konni هدف میگیرند.

محققان امنیتی یک کمپین جدید را که به APT37 نسبت داده میشود، کشف کرده اند؛ یک گروه هکری کره شمالی، شرکت های مهم در جمهوری چک، لهستان و دیگر کشور های اروپایی را مورد هدف قرار میدهند.

محققان امنیتی یک کمپین جدید را که به APT37 نسبت داده میشود، کشف کرده اند؛ یک گروه هکری کره شمالی، شرکت های مهم در جمهوری چک، لهستان و دیگر کشور های اروپایی را مورد هدف قرار میدهند.
در این کمپین، هکر ها از بدافزاری که به نام Konni شناخته شده است استفاده میکنند، یک تروجان دسترسی ریموت (RAT) که قابلیت برقراری ارتباط پیوسته را دارد و شدت دسترسی ها بر روی هاست را افزایش میدهد.
Konni از سال 2014 به حملات کره شمالی نسبت داده میشود، و اخیرا، در یک کمپین spear فیشینگ دیده شده است که وزارت امور خارجه را هدف قرار داده است.
آخرین و همچنان کمپین فعال توسط محققان در Securonix مشاهده و آنالیز شده است، که آن را STIFF#BIZON مینامند، و تکنیک ها و متد های همانند پیچیدپی عملیاتی یک APT است ( advance persistent threat )
کمپین STIFF#BIZON
حمله با یک رسیدن ایمیل فیشینگ آغاز میشود که شامل یک آرشیو فایل Word ( missle.docx ) و یک فایل شورتکات ویندوز ( _weapons.doc.Ink.Ink ) است.
هنگامی که فایل LNK باز شود، کد اجرا میشود تا یک اسکریپت پاورشل base64-encoded در فایل DOCX پیدا کند تا ارتباط C2 برقرار کند و دو فایل اضافی دانلود کند، ‘weapons.doc’ و ‘wp.vbs’.
 
هکر های کره شمالی
 
داکیومنت دانلود شده یک decoy است، در ظاهر یک گزارش از Olga Bozheva که یک خبرنگار روسی جنگ است. همزمان، فایل VBSبه به آرامی در پس زمینه اجرا میشود تا یک تسک زمانبندی شده در هاست ایجاد کند.
 
هکر های کره شمالی
 
در این فاز از حمله، هکر قبلا RAT را لود کرده و یک لینک تبادل اطلاعات برقرار میکند، و قابلیت اجرای دستورات زیر را دارد :
گرفتن اسکرین شات با استفاده از Win32 GDI و قرار دادن آن ها در قالب GZIP
استخراج کلید های ذخیره شده در فایل Local Stage برای رمزگشایی دیتابیس کوکی، قابل استفاده از در بایپس MFA
استخراج کلمات اعتباری از مرورگر قربانی
اجرای remote interactive shell از مرورگر قربانی
در مرحله چهارم حمله، همانطور که در دیاگرام پایین نمایش داده شده است، هکر ها فایل های اضافی را دانلود کرده که برای فعالیت های نمونه اصلاح شده Konni است، آن ها را به عنوان آرشیو های فشرده شده .cab دریافت میکند.
 
هکر های کره شمالی
 
ارتباطات احتمالی به APT28
در حالی تکنیک ها و ابزار ها به APT37 اشاره میکند، Securonix به احتمال APT28 ( که به نام FancyBear نیز شناخته میشود ) تاکید میکند که میتواند پشت پرده کمپین STIFF#BIZON باشد.
طبق گزارش : " به نظر میرسد که یک ارتباط مستقیم بین آدرس آی پی ها، تهیه کننده هاستینگ، و نام هاست، بین این حمله و اطلاعاتی که در گذشته از FancyBear/APT28 دیدیم باشد. "
گروه های دولتی هکر ها اغلب ادای TTPs، APT های ماهر را در می آورند تا ردیابیشان را سخت کنند و آنالیز گر ها را گمراه کنند، پس شانس نسبت دادن اشتباه در این حالت ها، بسیار زیاد است.