Konni Group : une nouvelle attaque de phishing menée avec des documents Word malveillants en russe

Cette activité a été attribuée à un acteur de la menace appelé Konni, dont on estime qu’il partage des points communs avec un groupe nord-coréen repéré sous le nom de Kimsuky (alias APT43).

« Cette campagne s’appuie sur un cheval de Troie d’accès à distance (RAT) capable d’extraire des informations et d’exécuter des commandes sur les appareils compromis », a déclaré Cara Lin, chercheur au FortiGuard Labs de Fortinet, dans une analyse publiée cette semaine.

Le groupe de cyberespionnage est connu pour son ciblage de la Russie, son mode opératoire impliquant l’utilisation de courriels de spear-phishing et de documents malveillants comme points d’entrée pour leurs attaques.

Les attaques récentes documentées par Knowsec et ThreatMon ont exploité la vulnérabilité WinRAR (CVE-2023-38831) ainsi que des scripts Visual Basic obscurcis pour introduire le RAT Konni et un script Windows Batch capable de collecter des données à partir des machines infectées.

« Les principaux objectifs de Konni sont l’exfiltration de données et la conduite d’activités d’espionnage », explique ThreatMon. « Pour atteindre ces objectifs, le groupe utilise un large éventail de logiciels malveillants et d’outils, adaptant fréquemment ses tactiques pour éviter la détection et l’attribution.

La dernière séquence d’attaque observée par Fortinet implique un document Word contenant des macros qui, lorsqu’elles sont activées, affichent un article en russe prétendument consacré aux « évaluations occidentales des progrès de l’opération militaire spéciale ».

La macro Visual Basic for Application (VBA) procède ensuite au lancement d’un script Batch intermédiaire qui effectue des vérifications du système, contourne le contrôle des comptes utilisateurs (UAC) et ouvre finalement la voie au déploiement d’un fichier DLL qui intègre des capacités de collecte d’informations et d’exfiltration. « La charge utile intègre un contournement de l’UAC et une communication cryptée avec un serveur C2, ce qui permet à l’acteur de la menace d’exécuter des commandes privilégiées », a déclaré M. Lin. Konni est loin d’être le seul acteur de menace nord-coréen à cibler la Russie. Les preuves recueillies par Kaspersky, Microsoft et SentinelOne montrent que le collectif d’adversaires appelé ScarCruft (alias APT37) a également ciblé des sociétés commerciales et des entreprises d’ingénierie de missiles situées dans le pays. Cette révélation intervient moins de deux semaines après que Solar, la branche cybersécurité de l’entreprise publique russe de télécommunications Rostelecom, a révélé que des acteurs asiatiques – principalement chinois et nord-coréens – étaient à l’origine de la majorité des attaques contre l’infrastructure du pays. « Le groupe nord-coréen Lazarus est également très actif sur le territoire de la Fédération de Russie : début novembre, les pirates du groupe Lazarus ont toujours accès à un certain nombre de systèmes russes.