Группа продвинутой постоянной угрозы (APT) Konni, связанная, как предполагается, с Северной Кореей, была замечена в проведении сложной кампании кибершпионажа, нацеленной на российские организации. Эта последняя операция использует многоэтапную цепочку заражения, которая начинается с фишинговых писем и завершается развертыванием трояна удаленного доступа (RAT), известного как EndRAT. Техническая сложность кампании и использование легитимных южнокорейских платформ связи для распространения вредоносного ПО подчеркивают развивающуюся тактику группы и постоянную угрозу, которую они представляют для дипломатических и правительственных организаций.
Атака начинается с целевого фишингового письма, содержащего вредоносный документ Microsoft Word. Этот документ, часто замаскированный под отчет или официальное сообщение, использует социальную инженерию, чтобы обманом заставить получателя включить макросы. После включения макросы выполняют скрипт PowerShell, который загружает и запускает полезную нагрузку следующего этапа с удаленного сервера. Эта промежуточная полезная нагрузка представляет собой загрузчик на базе .NET, который отвечает за получение и выполнение финальной полезной нагрузки RAT, EndRAT, в системе жертвы. EndRAT предоставляет злоумышленникам полный удаленный контроль, позволяя осуществлять кражу данных, наблюдение и дальнейшее проникновение в сеть.
Особенно примечательным аспектом этой кампании является использование группой популярного южнокорейского мессенджера KakaoTalk для командования и управления (C2). Исследователи безопасности выявили, что вредоносное ПО использует функцию KakaoTalk «Note to Self» — функцию, обычно используемую для личных заметок — для эксфильтрации похищенных данных и получения команд от операторов. Эта техника, известная как «living off the land», позволяет вредоносному ПО сливаться с обычным зашифрованным трафиком приложения, что значительно затрудняет обнаружение традиционными сетевыми средствами безопасности. Это знаменует собой переход от использования стандартных HTTP или пользовательских протоколов к злоупотреблению доверенными потребительскими приложениями.
Деятельность группы Konni исторически была сосредоточена на сборе разведданных, с постоянным интересом к дипломатическим, правительственным и исследовательским организациям. Эта кампания соответствует этой модели, что позволяет предположить, что целью является кража чувствительной геополитической разведки. Использование EndRAT, инструмента, ранее связанного с этой группой, и инновационного метода C2 через KakaoTalk демонстрирует их приверженность совершенствованию своих методов. Организациям, особенно в стратегически важных секторах, необходимо укреплять защиту от целевого фишинга, ограничивать выполнение макросов и отслеживать аномальный сетевой трафик — даже из доверенных приложений — чтобы снизить риск от таких продвинутых, скрытных угроз.
