Microsoft Word est utilisé par des pirates nord-coréens pour attaquer les utilisateurs de Windows

フォーティネットの研究者は、北朝鮮と関係があると考えられている「Konni」として知られるグループによるサイバースパイ活動を発見しました。このグループは、Word 文書を使用して Windows ユーザーを食い物にしています。

Malware sur ordinateur portable
クレジット: 123RF

フォーティネットの研究者 Cara Lin 氏は、悪意のあるロシア語の Microsoft Word ドキュメントを被害者に配信する試みを特定しました。犯人はコニとして知られる北朝鮮のグループであると考えられており、この文書は特別軍事作戦に対する西側の評価を提示することを目的としており、含まれる悪意のあるアクティビティを隠すために機能します。

この攻撃では、マクロベースのマルウェアが使用され、起動されると暫定的なバッチ スクリプトが実行されます。このスクリプトは、次のような重要な機能を実行します。ユーザー アカウント制御設定をバイパスするシステム チェック (UAC)そして最後に、情報を盗む DLL (ダイナミック リンク ライブラリ) を展開する。

こちらもお読みください –北朝鮮ハッカー、2022年に仮想通貨15億4000万ユーロを盗む

ハッカーによって展開されたペイロードには、侵害されたデバイス上でデータの抽出やコマンドの実行を容易にするリモート アクセス有効化 (RAT) ウイルスが含まれています。このマルウェアには、UAC バイパスとコマンド アンド コントロール (C2) サーバーとの暗号化通信が含まれています。これにより、ハッカーが被害者の PC 上でコマンドを実行できるようになります。

Konni は、スピアフィッシングメールや悪意のある文書を主要なツールとして使用し、ターゲットエンドポイントにアクセスすることで、ロシアの組織を特定的にターゲットにすることで知られています。このグループのこれまでの攻撃では、その適応性が実証されており、あらゆる種類の検出を回避するためのさまざまなマルウェアとツール。

Knowsec と ThreatMon によって文書化された最近の攻撃では、特に WinRAR の脆弱性 (CVE-2023-38831) を悪用するとともに、難読化された Visual Basic スクリプトを悪用して、感染したマシンからデータを収集できる Konni RAT と Windows Batch スクリプトを導入しました。

ロシアを攻撃した北朝鮮の俳優はコニ氏だけではない。 Kaspersky、Microsoft、SentinelOne が収集した証拠は、この集団がScarCruft (別名 APT37) は営利企業やミサイル開発会社も標的にしました国内にあります。