Một cuộc tấn công lừa đảo mới đã được quan sát thấy tận dụng tài liệu Microsoft Word bằng tiếng Nga để cung cấp phần mềm độc hại có khả năng thu thập thông tin nhạy cảm từ các máy chủ Windows bị xâm nhập.
Hoạt động này được cho là do một tác nhân đe dọa có tên Konni, được đánh giá là có sự trùng lặp với một cụm của Triều Tiên được theo dõi là Kimsuky (hay còn gọi là APT43).
"Chiến dịch này dựa trên một trojan truy cập từ xa (RAT) có khả năng trích xuất thông tin và thực hiện các lệnh trên các thiết bị bị xâm nhập", nhà nghiên cứu Cara Lin của Fortinet FortiGuard Labs cho biết trong một phân tích được công bố trong tuần này.
Nhóm gián điệp mạng đáng chú ý vì nhắm mục tiêu vào Nga, với phương thức hoạt động liên quan đến việc sử dụng email lừa đảo và tài liệu độc hại làm điểm xâm nhập cho các cuộc tấn công của họ.
Các cuộc tấn công gần đây được ghi nhận bởi Knowsec và ThreatMon đã tận dụng lỗ hổng WinRAR (CVE-2023-38831) cũng như các tập lệnh Visual Basic bị xáo trộn để thả Konni RAT và tập lệnh Windows Batch có khả năng thu thập dữ liệu từ các máy bị nhiễm.
"Mục tiêu chính của Konni bao gồm lọc dữ liệu và tiến hành các hoạt động gián điệp", ThreatMon nói. "Để đạt được những mục tiêu này, nhóm sử dụng một loạt các phần mềm độc hại và công cụ, thường xuyên điều chỉnh chiến thuật của họ để tránh bị phát hiện và quy kết."
Chuỗi tấn công mới nhất được Fortinet quan sát liên quan đến một tài liệu Word có viền vĩ mô, khi được bật, hiển thị một bài báo bằng tiếng Nga có mục đích về "Đánh giá của phương Tây về tiến trình của chiến dịch quân sự đặc biệt".
Macro Visual Basic for Application (VBA) sau đó tiến hành khởi chạy tập lệnh Batch tạm thời thực hiện kiểm tra hệ thống, bỏ qua Kiểm soát tài khoản người dùng (UAC) và cuối cùng mở đường cho việc triển khai tệp DLL kết hợp khả năng thu thập và lọc thông tin.
"Tải trọng kết hợp bỏ qua UAC và giao tiếp được mã hóa với máy chủ C2, cho phép tác nhân đe dọa thực hiện các lệnh đặc quyền", Lin nói.
Konni không phải là tác nhân đe dọa duy nhất của Triều Tiên chỉ trích Nga. Bằng chứng do Kaspersky, Microsoft và SentinelOne thu thập cho thấy nhóm đối thủ được gọi là ScarCruft (hay còn gọi là APT37) cũng đã nhắm mục tiêu vào các công ty thương mại và công ty kỹ thuật tên lửa ở nước này.
Tiết lộ cũng được đưa ra chưa đầy hai tuần sau khi Solar, chi nhánh an ninh mạng của công ty viễn thông nhà nước Nga Rostelecom, tiết lộ rằng các tác nhân đe dọa từ châu Á - chủ yếu là từ Trung Quốc và Triều Tiên - chiếm phần lớn các cuộc tấn công vào cơ sở hạ tầng của đất nước.
"Nhóm Lazarus của Triều Tiên cũng hoạt động rất tích cực trên lãnh thổ Liên bang Nga", công ty này cho biết. "Tính đến đầu tháng 11, tin tặc Lazarus vẫn có quyền truy cập vào một số hệ thống của Nga".