Şirket, “Kuzey Koreli Lazarus grubu Rusya Federasyonu topraklarında da oldukça aktif” dedi
Faaliyet, adlı bir tehdit aktörüne atfedildi KonniKimsuky (diğer adıyla APT43) olarak takip edilen Kuzey Kore kümesiyle örtüşmeleri paylaştığı değerlendiriliyor ”
Fortinet tarafından gözlemlenen son saldırı dizisi, etkinleştirildiğinde “Özel Askeri Operasyonun İlerlemesine İlişkin Batılı Değerlendirmeler” hakkında olduğu iddia edilen Rusça bir makale görüntüleyen makro bağlantılı bir Word belgesini içeriyor
23 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Siber Casusluk
Tehlike altındaki Windows ana bilgisayarlarından hassas bilgileri toplayabilen kötü amaçlı yazılım dağıtmak için Rusça Microsoft Word belgesinden yararlanan yeni bir kimlik avı saldırısı gözlemlendi
Knowsec ve ThreatMon tarafından belgelenen son saldırılar, WinRAR güvenlik açığından (CVE-2023-38831) yararlandı ve Visual Basic komut dosyalarının gizlenmesini sağladı ” söz konusu Bu hafta yayınlanan bir analizde
Visual Basic for Application (VBA) makrosu daha sonra sistem kontrolleri gerçekleştiren, Kullanıcı Hesabı Denetimi’ni (UAC) atlayan ve sonuçta bilgi toplama ve sızma yeteneklerini içeren bir DLL dosyasının dağıtımının önünü açan geçici bir Toplu komut dosyasını başlatmaya devam eder
Lin, “Yük, bir UAC bypass’ı ve bir C2 sunucusuyla şifreli iletişimi birleştirerek tehdit aktörünün ayrıcalıklı komutları yürütmesine olanak tanıyor” dedi
Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Bu kampanya, bilgileri çıkarabilen ve ele geçirilen cihazlarda komutları yürütebilen bir uzaktan erişim truva atına (RAT) dayanıyor
Açıklama ayrıca, Rus devlete ait telekom şirketi Rostelecom’un siber güvenlik kolu Solar’ın, Asya’daki tehdit aktörlerinin (özellikle Çin ve Kuzey Kore’den gelenlerin) ülkenin altyapısına yönelik saldırıların çoğunluğundan sorumlu olduğunu açıklamasından iki haftadan kısa bir süre sonra geldi
Konni, Rusya’yı öne çıkaran tek Kuzey Koreli tehdit aktörü değil “Bu hedeflere ulaşmak için grup, çok çeşitli kötü amaçlı yazılım ve araçlar kullanıyor ve taktiklerini sık sık tespit edilmekten ve ilişkilendirilmekten kaçınmak için uyarlıyor
Siber casusluk grubu dikkat çekicidir Rusya’nın hedef alınmasıHedef odaklı kimlik avı e-postalarının ve kötü amaçlı belgelerin saldırılar için giriş noktaları olarak kullanılmasını içeren işleyiş tarzı ”
siber-2
ThreatMon, “Konni’nin öncelikli hedefleri arasında veri sızdırma ve casusluk faaliyetleri yürütmek yer alıyor” söz konusu