Хамелеон киберпреступного мира: северокорейская группа Konni мимикрирует свои вредоносные тактики

Эксперты по кибербезопасности компании Qi An Xin обнаружили вредоносные LNK -файлы, нацеленные на пользователей в Южной Корее. Файлы при запуске распаковывали документы-приманки и VB-скрипты. Одним из таких документов было якобы руководство о том, как проводить проверку безопасности электронной почты.

Первоначально эксперты предположили, что атака исходит от северокорейской группировки APT37, которая ранее неоднократно использовала похожий метод распространения вредоносного ПО. Однако детальный анализ скриптов и адресов управляющих серверов выявил связь злоумышленников с не менее северокорейской группировкой Konni.

Используя в своих атаках LNK-файлы, которые по сути являются обычными ярлыками Windows и в последнее время применяются самыми разными акторами угроз, группа Konni очевидно пытается замаскировать свою активность под действия других хакерских объединений

В рассмотренной исследователями вредоносной кампании скрипты Konni, активируемые через LNK-файлы, выполняли следующие действия:

1. Устанавливали задачи в планировщике Windows для периодического запуска вредоносного кода. Это позволяло обойти удаление основных файлов и сохранить постоянный контроль над заражённой системой.
2. Собирали различную информацию о системе, включая список процессов, сведения о конфигурации, содержимое папок пользователя.
3. Отправляли собранные данные на командный сервер злоумышленников.

Анализ обнаруженного вредоносного ПО показал сходство используемых методов с ранее опубликованными образцами, также связанными с Konni. В частности, совпадают способы сокрытия кода, принцип отправки данных на C2-сервер , а также детали технической реализации.

Это указывает на возможную связь Konni с другими восточноазиатскими группировками, такими как APT37 и Kimsuky, которые используют похожие методы сокрытия вредоносного кода внутри LNK-файлов, а также распространяют файлы-приманки для повышения эффективности атак.

Таким образом, анализируемая атака демонстрирует как изменение тактики самой группы Konni, так и тенденцию к сближению методов и обмену наработками между различными APT -группировками азиатского региона.

Чтобы обезопасить себя от подобных атак, эксперты рекомендуют пользователям следовать нескольким базовым правилам:

• Проявлять осторожность при работе с файлами из подозрительных или непроверенных источников. Особенно это касается сообщений из социальных сетей и почтовых вложений.
• Регулярно делать резервные копии важных данных для возможности быстрого восстановления в случае заражения.
• Своевременно устанавливать все обновления безопасности от разработчиков ПО, так как они часто закрывают уязвимости, эксплуатируемые злоумышленниками.

Обнаруженная активность хакерской группы Konni свидетельствует о постоянном развитии тактики киберпреступников. Использование социальной инженерии через документы-приманки, распространение вредоносного ПО через LNK-файлы и обмен наработками с другими APT-группами — этот набор приёмов является очень эффективным и опасным.

Хотя основные рекомендации экспертов относительно просты, реальность такова, что всё больше угроз способны обойти защиту рядовых пользователей. Поэтому компаниям нужно активно инвестировать как в технические решения типа антивирусов нового поколения, так и в повышение осведомлённости персонала о различных видах кибератак.

Несистемная защита уже не является достаточной, поэтому необходим по-настоящему комплексный подход.