Directoratul Național de Securitate Cibernetică (DNSC) avertizează asupra unei campanii phishing în desfășurare, atribuită grupării nord coreene Konni. Atacatorii urmăresc infectarea inițială a utilizatorilor vizați prin atașarea unor fișiere malițioase de tip LNK în email-urile transmise. Ulterior, malware-ul este descărcat folosind inclusiv infrastructura cibernetică a unor furnizori de servicii de tip cloud de încredere, cum ar fi Dropbox sau GoogleDrive.
”O nouă campanie de phishing în desfășurare a fost identificată (10.03) de către Directoratul Național de Securitate Cibernetică prin date obținute din monitorizarea surselor deschise din spațiul cibernetic. (,,,) Campania este foarte probabil atribuită grupării Konni asociată adeseori cu actorii statali nord coreeni, identificați în comunitatea de specialitate drept APT37, respectiv Kimsuki”, a transmis DNSC.
Potrivit specialiștilor, în cadrul campaniei identificate, ”atacatorii urmăresc infectarea inițială a utilizatorilor vizați prin atașarea unor fișiere malițioase de tip LNK în email-urile transmise”, scrie News.ro
”Ulterior, malware-ul este descărcat folosind inclusiv infrastructura cibernetică a unor furnizori de servicii de tip cloud de încredere în relația cu victimele (i.e., Dropbox, GoogleDrive)”, au mai transmis specialiștii.
Aceștia descriu cum se derulează atacul.
”Analiza atacurilor cibernetice recente atribuite grupului NK Konni a evidențiat utilizarea fișierelor de tip LNK pentru a distribui malware-ul AsyncRAT. Această metodă implică folosirea fișierelor de comandă rapidă specifice sistemului de operare Windows pentru a executa comenzi malițioase fără a necesita macrocomenzi, o tehnică adoptată pe scară largă de atacatori pentru a evita măsurile de securitate care blochează macrocomenzile în documentele specifice suitei Office a companiei Microsoft. Specific, odată accesate de către utilizatorii vizați, fișierele malițioase execută un script PowerShell ascuns în structura acestora, care descarcă și deschide un document fals pentru a distrage atenția, în timp ce instalează malware-ul AsyncRAT pe sistemul victimei”, explică specialiștii.
Potrivit acestora, pentru descărcarea și instalarea payload-urilor malițioase în diferite etape ale atacului, atacatorii utilizează atât servere proxy de comandă și control (C&C), cât și soluții de la furnizori de servicii de tip cloud cunoscute, precum Dropbox și GoogleDrive.
”AsyncRAT este un troian de acces de la distanță care permite atacatorilor să controleze sistemele infectate, să colecteze date și să execute comenzi arbitrare. În campaniile recente, s-a observat că informațiile C&C nu mai sunt codificate direct în malware, ci sunt transmise ca parametri în momentul executării, ceea ce îngreunează detectarea și analizarea acestuia”, arată DNSC.
Konni, o grupare nord-coreeană activă în spațiul cibernetic încă din anul 2014, folosește tehnici precum phishing și spear-phishing pentru a ataca cu preponderență sistemele informatice din Coreea de Sud și Rusia, fiind asociată uneori cu gruparea Kimsuky asociată serviciilor de informații militare din Coreea de Nord, responsabilă pentru atacuri lansate inclusiv în SUA și Europa.
De asemenea, atacurile lansate de gruparea Konni vizează în principal exfiltrarea de date și informații din sistemele vizate, metodele de operare în spațiul cibernetic prezentând multiple similarități cu cele utilizate de către actorii statali APT37 și Lazarus Group.
RECOMANDĂRI GENERALE
- Fiți informați: Verificați regulat actualizările de la DNSC cu privire la riscurile, amenințările și vulnerabilitățile de securitate cibernetică.
- Utilizați parole puternice: Asigurați-vă că parolele dvs. sunt complexe și unice pentru diferite conturi.
- Activați autentificarea cu doi factori: Aceasta adaugă un nivel suplimentar de securitate pentru conturile dvs. online.
- Realizați backup-ul datelor: Faceți backup-ul regulat al fișierelor importante pe un disc extern sau un serviciu de tip cloud.
- Verificați tipul fișierului: Înainte de a rula un fișier, verificați tipul fișierului pentru a vă asigura că nu este un fișier “comandă rapidă” (LNK) care poate conține coduri rău intenționate. Dacă este un fișier LNK, evitați să îl rulați.
- Nu deschideți atașamente din e-mailuri necunoscute: Nu rulați atașamente din e-mailuri care provin de la surse necunoscute sau care par suspecte. Aceste atașamente pot conține malware care poate infecta computerul dvs.
- Verificați expeditorul și adresa de e-mail: Asigurați-vă că expeditorul e-mailului este o organizație de încredere și că adresa de e-mail este validă. Dacă expeditorul sau adresa de e-mail pare suspectă, nu rulați atașamentul.
- Scanare antivirus: Dacă bănuiți că un atașament este malițios, încărcați-l într-o scanare antivirus sau platforme gratuite ca #VirusTotal pentru a verifica dacă acesta este suspect sau malițios. Dacă se aplică o parolă de compresie, încărcați fișierul rezultat după decompresie.
