Konni Grubu Son Saldırılarında Rusça Kötü Amaçlı Kelime Belgeleri Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Konni Grubu Son Saldırılarında Rusça Kötü Amaçlı Kelime Belgeleri Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Knowsec ve ThreatMon tarafından belgelenen son saldırılar, WinRAR güvenlik açığından (CVE-2023-38831) yararlandı ve Visual Basic komut dosyalarının gizlenmesini sağladı

Lin, “Yük, bir UAC bypass’ı ve bir C2 sunucusuyla şifreli iletişimi birleştirerek tehdit aktörünün ayrıcalıklı komutları yürütmesine olanak tanıyor” dedi


23 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Siber Casusluk

Tehlike altındaki Windows ana bilgisayarlarından hassas bilgileri toplayabilen kötü amaçlı yazılım dağıtmak için Rusça Microsoft Word belgesinden yararlanan yeni bir kimlik avı saldırısı gözlemlendi ”

Fortinet tarafından gözlemlenen son saldırı dizisi, etkinleştirildiğinde “Özel Askeri Operasyonun İlerlemesine İlişkin Batılı Değerlendirmeler” hakkında olduğu iddia edilen Rusça bir makale görüntüleyen makro bağlantılı bir Word belgesini içeriyor

Şirket, “Kuzey Koreli Lazarus grubu Rusya Federasyonu topraklarında da oldukça aktif” dedi

Konni, Rusya’yı öne çıkaran tek Kuzey Koreli tehdit aktörü değil ” söz konusu Bu hafta yayınlanan bir analizde

Faaliyet, adlı bir tehdit aktörüne atfedildi KonniKimsuky (diğer adıyla APT43) olarak takip edilen Kuzey Kore kümesiyle örtüşmeleri paylaştığı değerlendiriliyor

Visual Basic for Application (VBA) makrosu daha sonra sistem kontrolleri gerçekleştiren, Kullanıcı Hesabı Denetimi’ni (UAC) atlayan ve sonuçta bilgi toplama ve sızma yeteneklerini içeren bir DLL dosyasının dağıtımının önünü açan geçici bir Toplu komut dosyasını başlatmaya devam eder ”



siber-2

“Bu hedeflere ulaşmak için grup, çok çeşitli kötü amaçlı yazılım ve araçlar kullanıyor ve taktiklerini sık sık tespit edilmekten ve ilişkilendirilmekten kaçınmak için uyarlıyor Kaspersky, Microsoft ve SentinelOne tarafından toplanan kanıtlar, ScarCruft (diğer adıyla APT37) olarak adlandırılan düşman grubunun aynı zamanda ülkede bulunan ticaret şirketlerini ve füze mühendisliği firmalarını da hedef aldığını gösteriyor

Siber casusluk grubu dikkat çekicidir Rusya’nın hedef alınmasıHedef odaklı kimlik avı e-postalarının ve kötü amaçlı belgelerin saldırılar için giriş noktaları olarak kullanılmasını içeren işleyiş tarzı

Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Bu kampanya, bilgileri çıkarabilen ve ele geçirilen cihazlarda komutları yürütebilen bir uzaktan erişim truva atına (RAT) dayanıyor

ThreatMon, “Konni’nin öncelikli hedefleri arasında veri sızdırma ve casusluk faaliyetleri yürütmek yer alıyor” söz konusu söz konusu

Açıklama ayrıca, Rus devlete ait telekom şirketi Rostelecom’un siber güvenlik kolu Solar’ın, Asya’daki tehdit aktörlerinin (özellikle Çin ve Kuzey Kore’den gelenlerin) ülkenin altyapısına yönelik saldırıların çoğunluğundan sorumlu olduğunu açıklamasından iki haftadan kısa bir süre sonra geldi “Kasım ayı başı itibarıyla Lazarus bilgisayar korsanlarının hâlâ bazı Rus sistemlerine erişimi var Konni RAT ve virüslü makinelerden veri toplayabilen bir Windows Toplu komut dosyası