Konni Grubu Son Saldırılarında Rusça Kötü Amaçlı Kelime Belgeleri Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Konni Grubu Son Saldırılarında Rusça Kötü Amaçlı Kelime Belgeleri Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Lin, “Yük, bir UAC bypass’ı ve bir C2 sunucusuyla şifreli iletişimi birleştirerek tehdit aktörünün ayrıcalıklı komutları yürütmesine olanak tanıyor” dedi

Konni, Rusya’yı öne çıkaran tek Kuzey Koreli tehdit aktörü değil

Knowsec ve ThreatMon tarafından belgelenen son saldırılar, WinRAR güvenlik açığından (CVE-2023-38831) yararlandı ve Visual Basic komut dosyalarının gizlenmesini sağladı

Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Bu kampanya, bilgileri çıkarabilen ve ele geçirilen cihazlarda komutları yürütebilen bir uzaktan erişim truva atına (RAT) dayanıyor

Faaliyet, adlı bir tehdit aktörüne atfedildi KonniKimsuky (diğer adıyla APT43) olarak takip edilen Kuzey Kore kümesiyle örtüşmeleri paylaştığı değerlendiriliyor “Kasım ayı başı itibarıyla Lazarus bilgisayar korsanlarının hâlâ bazı Rus sistemlerine erişimi var Konni RAT ve virüslü makinelerden veri toplayabilen bir Windows Toplu komut dosyası “Bu hedeflere ulaşmak için grup, çok çeşitli kötü amaçlı yazılım ve araçlar kullanıyor ve taktiklerini sık sık tespit edilmekten ve ilişkilendirilmekten kaçınmak için uyarlıyor

Şirket, “Kuzey Koreli Lazarus grubu Rusya Federasyonu topraklarında da oldukça aktif” dedi ”



siber-2

Visual Basic for Application (VBA) makrosu daha sonra sistem kontrolleri gerçekleştiren, Kullanıcı Hesabı Denetimi’ni (UAC) atlayan ve sonuçta bilgi toplama ve sızma yeteneklerini içeren bir DLL dosyasının dağıtımının önünü açan geçici bir Toplu komut dosyasını başlatmaya devam eder

ThreatMon, “Konni’nin öncelikli hedefleri arasında veri sızdırma ve casusluk faaliyetleri yürütmek yer alıyor” söz konusu

Siber casusluk grubu dikkat çekicidir Rusya’nın hedef alınmasıHedef odaklı kimlik avı e-postalarının ve kötü amaçlı belgelerin saldırılar için giriş noktaları olarak kullanılmasını içeren işleyiş tarzı ” söz konusu Bu hafta yayınlanan bir analizde ”

Fortinet tarafından gözlemlenen son saldırı dizisi, etkinleştirildiğinde “Özel Askeri Operasyonun İlerlemesine İlişkin Batılı Değerlendirmeler” hakkında olduğu iddia edilen Rusça bir makale görüntüleyen makro bağlantılı bir Word belgesini içeriyor söz konusu Kaspersky, Microsoft ve SentinelOne tarafından toplanan kanıtlar, ScarCruft (diğer adıyla APT37) olarak adlandırılan düşman grubunun aynı zamanda ülkede bulunan ticaret şirketlerini ve füze mühendisliği firmalarını da hedef aldığını gösteriyor

Açıklama ayrıca, Rus devlete ait telekom şirketi Rostelecom’un siber güvenlik kolu Solar’ın, Asya’daki tehdit aktörlerinin (özellikle Çin ve Kuzey Kore’den gelenlerin) ülkenin altyapısına yönelik saldırıların çoğunluğundan sorumlu olduğunu açıklamasından iki haftadan kısa bir süre sonra geldi


23 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Siber Casusluk

Tehlike altındaki Windows ana bilgisayarlarından hassas bilgileri toplayabilen kötü amaçlı yazılım dağıtmak için Rusça Microsoft Word belgesinden yararlanan yeni bir kimlik avı saldırısı gözlemlendi