Hacklenmiş Microsoft Word belgeleri Windows kullanıcılarını kandırmak için kullanılıyor

Uzmanlar, Kuzey Korelilerin kötü niyetli Microsoft Word belgeleri kullanarak Rus hedeflerden hassas verileri çalmaya çalıştığını iddia etti.

Fortinet’in araştırmacısı Cara Lin, Konni adlı bir grubun (ancak bilinen tehdit aktörü ile bir dizi örtüşme nedeniyle Kimsuky AKA APT43 olabilir) kurbanlarına kötü amaçlı Rusça bir Microsoft belgesi göndermeye çalıştığını gözlemledi.

Kötü amaçlı yazılım, tahmin edebileceğiniz gibi, bir makro biçiminde geliyor. Bu komut dosyası, sistemi kontrol edecek, Kullanıcı Hesabı Denetimi (UAC) ayarlarını atlayacak ve son olarak bilgi çalan bir DLL dağıtacak geçici bir Batch komut dosyası başlatacaktır.

Dost mu düşman mı?

Lin raporda, “Bu kampanya, ele geçirilen cihazlarda bilgi alma ve komutları yürütme yeteneğine sahip bir uzaktan erişim truva atına (RAT) dayanıyor” dedi. “Yük, bir UAC baypası ve bir C2 sunucusuyla şifreli iletişim içeriyor ve tehdit aktörünün ayrıcalıklı komutları yürütmesini sağlıyor.”

Dağıtılan belge, “Özel Askeri Operasyonun ilerleyişine ilişkin Batı değerlendirmeleri” hakkında olduğu iddia edilen Rusça bir makale taşıyor.

The Hacker News yazısında Konni’nin Rusya’yı hedef almasıyla “dikkate değer” olduğunu söylüyor.

Grup çoğu zaman hedef uç noktalara erişim elde etmek için kimlik avı e-postaları ve kötü niyetli belgeler kullanıyordu. Siber güvenlik araştırmacıları Knowsec ve ThreatMon tarafından tespit edilen daha önceki saldırıların WinRAR’daki (CVE-2023-38831) bir güvenlik açığını kötüye kullandığı belirtildi. ThreatMon, “Konni’nin birincil hedefleri arasında veri sızdırma ve casusluk faaliyetleri yürütme yer alıyor” dedi. “Bu hedeflere ulaşmak için grup çok çeşitli kötü amaçlı yazılımlar ve araçlar kullanmakta, tespit ve ilişkilendirmeden kaçınmak için taktiklerini sık sık uyarlamaktadır.”

Kuzey Koreli hackerların Rus firmalarını hedef aldığını ilk kez görmüyoruz. Geçtiğimiz yaz, iki ayrı grup – ScarCruft ve Lazarus Group, önemli bir Rus füze mühendisliği şirketi olan NPO Mashinostroyenia’yı hedef aldı. ScarCruft bir e-posta sunucusu da dahil olmak üzere “hassas dahili BT altyapısını” tehlikeye atmayı başarırken, Lazarus OpenCarrot olarak bilinen bir Windows arka kapısı kullandı.

 

Daha fazla büten için; 

“Durdurulamaz”: AMD’nin şimdiye kadarki en hızlı işlemcisinin ilk incelemeleri korkutucu hızda