DNSC avertizează asupra unei campanii phishing în desfăşurare, atribuită grupării Konni

Directoratul Naţional de Securitate Cibernetică (DNSC) avertizează, miercuri, asupra unei campanii phishing în desfăşurare, atribuită grupării nord coreene Konni. Atacatorii urmăresc infectarea iniţială a utilizatorilor vizaţi prin ataşarea unor fişiere maliţioase de tip LNK în email-urile transmise, potrivit news.ro.

Ulterior, malware-ul este descărcat folosind inclusiv infrastructura cibernetică a unor furnizori de servicii de tip cloud de încredere, cum ar fi Dropbox sau GoogleDrive.

"O nouă campanie de phishing în desfăşurare a fost identificată (10.03) de către Directoratul Naţional de Securitate Cibernetică prin date obţinute din monitorizarea surselor deschise din spaţiul cibernetic. (,,,) Campania este foarte probabil atribuită grupării Konni asociată adeseori cu actorii statali nord coreeni, identificaţi în comunitatea de specialitate drept APT37, respectiv Kimsuki", a transmis, miercuri, DNSC.

Potrivit specialiştilor, în cadrul campaniei identificate, "atacatorii urmăresc infectarea iniţială a utilizatorilor vizaţi prin ataşarea unor fişiere maliţioase de tip LNK în email-urile transmise".

"Ulterior, malware-ul este descărcat folosind inclusiv infrastructura cibernetică a unor furnizori de servicii de tip cloud de încredere în relaţia cu victimele (i.e., Dropbox, GoogleDrive)", au mai transmis specialiştii.

Aceştia descriu cum se derulează atacul.

"Analiza atacurilor cibernetice recente atribuite grupului NK Konni a evidenţiat utilizarea fişierelor de tip LNK pentru a distribui malware-ul AsyncRAT. Această metodă implică folosirea fişierelor de comandă rapidă specifice sistemului de operare Windows pentru a executa comenzi maliţioase fără a necesita macrocomenzi, o tehnică adoptată pe scară largă de atacatori pentru a evita măsurile de securitate care blochează macrocomenzile în documentele specifice suitei Office a companiei Microsoft. Specific, odată accesate de către utilizatorii vizaţi, fişierele maliţioase execută un script PowerShell ascuns în structura acestora, care descarcă şi deschide un document fals pentru a distrage atenţia, în timp ce instalează malware-ul AsyncRAT pe sistemul victimei", explică specialiştii.

Potrivit acestora, pentru descărcarea şi instalarea payload-urilor maliţioase în diferite etape ale atacului, atacatorii utilizează atât servere proxy de comandă şi control (C&C), cât şi soluţii de la furnizori de servicii de tip cloud cunoscute, precum Dropbox şi GoogleDrive.

"AsyncRAT este un troian de acces de la distanţă care permite atacatorilor să controleze sistemele infectate, să colecteze date şi să execute comenzi arbitrare. În campaniile recente, s-a observat că informaţiile C&C nu mai sunt codificate direct în malware, ci sunt transmise ca parametri în momentul executării, ceea ce îngreunează detectarea şi analizarea acestuia", arată DNSC.