Вооружены Konni RAT и очень опасны: северокорейская APT37 атакует крупные европейские компании

Исследователи из команды Securonix Threat Research (STR) обнаружили новую вредоносную кампанию, названную STIFF#BIZON и направленную на крупные организации в нескольких европейских странах. Эксперты связывают эту кампанию с северокорейской группировкой APT37 . Злоумышленники используют Konni RAT (троян удаленного доступа), который с 2014 по 2017 год оставался незамеченным, так как использовался в узконаправленных атаках. Троян умеет избегать обнаружения благодаря постоянной “эволюции”, выполнять произвольный код на зараженных системах и красть данные.

Атака начинается с фишинговых сообщений, к которым приложено вредоносное вложение, представляющее собой архив, содержащий документ Word (missile.docx) и shortcut-файл (_weapons.doc.lnk.lnk).

Как только жертва кликает на LNK-файл, начинается цепочка заражения:

• Запускается код, который находит в docx-файле PowerShell-скрипт, закодированный в Base64;

• Устанавливается связь с C&C-сервером злоумышленников;

• С C&C-сервера загружаются и выполняются файлы "weapons.doc" и "wp.vbs";

• Файл weapons.doc – документ-обманка, который привлекает к себе внимание, пока файл wp.vbs незаметно запускается в фоновом режиме;

• Запустившись, wp.vbs создает запланированную задачу под названием “Office Update” на устройстве жертвы, которая выполняет PowerShell-скрипт, закодированный в Base64;

• Вместе с этим устанавливается C&C-связь, позволяющая злоумышленникам получить доступ к системе жертвы.

Развернув Konni RAT в системе жертвы, хакеры могут загрузить специальные модули, чтобы получить дополнительные возможности:

• Capture.net.exe – позволяет делать скриншоты с помощью Win32 GDI API и выгружать их в формате gzip на C&C-сервер злоумышленников;

• chkey.net.exe – дает возможность извлечь зашифрованные ключи, хранящиеся в файле Local State. Эти ключи позволяют злоумышленникам дешифровать базу данных cookie, что облегчает обход многофакторной аутентификации.

• pull.net.exe – позволяет извлечь сохраненные учетные данные из браузеров жертвы.

• shell.net.exe – создает удаленную интерактивную оболочку, которая позволяет выполнять произвольные команды каждые 10 секунд.

Чтобы закрепиться в системе, злоумышленники используют модифицированную версию Konni, загружающую .cab-файл, содержащий в себе несколько файлов с вредоносным ПО.

В заключении отчета эксперты выдвинули предположение, что под маской APT37 может скрываться российская хакерская группировка APT28 . Такие выводы были сделаны на основе анализа IP-адресов, хостинг-провайдеров, имен хостов и технических приемов, похожих на методы APT28.