Forscher bei Securonix haben eine laufende Kampagne gegen mehrere europäische Länder detailliert beschrieben, bei der mit Nordkorea verbundene Hacker (APT37) Cyberangriffe mit Konni RAT durchführen.
Sie nannten die Kampagne STIFFBIZON und sagen, dass Konni RAT zum Diebstahl von Daten, zur Bereitstellung bösartiger Payloads usw. von hochrangigen Organisationen in den Zielländern verwendet wurde. Neben APT37 führten die Forscher diese Kampagne auch auf APT28, auch bekannt als Fancy Bear, zurück, eine russische APT.
APT verwendet Konni RAT zur Aufklärung
Bei einem angeblich anhaltenden Angriff auf hochrangige Organisationen in mehreren europäischen Ländern stellten die Forscher von Securonix fest, dass Hacker Konni RAT verwenden – das seit 2014 mit vom nordkoreanischen Staat gesponserten Teams in Verbindung gebracht wird.
Sie bezeichneten diese Kampagne als STEIFBIZON und verband die Angreifer mit APT37eine nordkoreanische APT. Aber auch die Taktiken und die Infrastruktur, die in dieser Kampagne verwendet werden, machen sie mit APT28 (auch bekannt als Fancy Bear), ein russischer APT.
Diese Kampagne beginnt mit einer Phishing-E-Mail, die als Archivanhang ein Word-Dokument (missile.docx) und eine Windows-Verknüpfungsdatei (_weapons.doc.lnk.lnk) enthält. Beim Öffnen der Ink-Datei wird ein Code ausgeführt, der in der mitgelieferten DOCX-Datei ein base64-codiertes PowerShell-Skript findet, um eine C2-Kommunikation mit dem Hacker herzustellen.
Dies hilft ihnen auch beim Herunterladen von zwei zusätzlichen Dateien, „weapons.doc“ und „wp.vbs“. Während es sich bei dem Waffendokument um eine einfache Liste von Olga Bozheva, einer russischen Kriegskorrespondentin, handelt, wird die VBS-Datei im Hintergrund ausgeführt, um eine geplante Aufgabe auf dem Host zu erstellen.
In diesem Prozess lassen sie Konni RAT die folgenden Vorgänge ausführen:
- Erfassen Sie Screenshots mithilfe der Win32 GDI API und exfiltrieren Sie sie im GZIP-Format.
- Extrahieren Sie Statusschlüssel, die in der lokalen Statusdatei gespeichert sind, zur Entschlüsselung der Cookie-Datenbank, nützlich zum Umgehen von MFA.
- Extrahieren Sie gespeicherte Anmeldeinformationen aus den Webbrowsern des Opfers.
- Starten Sie eine interaktive Remote-Shell, die alle 10 Sekunden Befehle ausführen kann.
Um dies zu vermeiden, haben die Forscher in ihrem Blog die Erkennungstechniken und Minderungsmaßnahmen beschrieben.
