Atenție, români! Hackerii nord-coreeni lovesc din nou
Directoratul Naţional de Securitate Cibernetică (DNSC) a emis, miercuri, un avertisment cu privire la o campanie de phishing în desfăşurare, atribuită grupării nord-coreene Konni. Această campanie vizează infectarea utilizatorilor prin ataşarea unor fişiere periculoase de tip LNK în email-urile transmise.
Atacatorii utilizează infrastructura cibernetică a unor furnizori de servicii de tip cloud de încredere, precum Dropbox sau GoogleDrive, pentru a descărca ulterior malware-ul. Conform analizei efectuate, atacurile recente atribuite grupului Konni au evidenţiat utilizarea fişierelor LNK pentru a distribui malware-ul AsyncRAT. Această tehnică permite atacatorilor să execute comenzi maliţioase fără a necesita macrocomenzi, ceea ce le oferă posibilitatea de a evita măsurile de securitate care blochează macrocomenzile în documentele Microsoft Office.
Fişierele maliţioase, odată accesate de utilizatorii vizaţi, execută un script PowerShell ascuns, care descarcă un document fals pentru a distrage atenţia, în timp ce instalează malware-ul AsyncRAT pe sistemul victimei. Atacatorii utilizează atât servere proxy de comandă şi control (C&C), cât şi soluţii de la furnizori de servicii de tip cloud cunoscute, precum Dropbox şi GoogleDrive, pentru descărcarea şi instalarea payload-urilor maliţioase în diferite etape ale atacului.
AsyncRAT este un troian de acces de la distanţă care permite atacatorilor să controleze sistemele infectate, să colecteze date şi să execute comenzi arbitrare. În campaniile recente, informaţiile C&C nu mai sunt codificate direct în malware, ci sunt transmise ca parametri în momentul executării, ceea ce îngreunează detectarea şi analizarea acestuia.
Gruparea Konni, activă în spaţiul cibernetic din 2014, foloseşte tehnici de phishing şi spear-phishing pentru a ataca, în principal, sistemele informatice din Coreea de Sud şi Rusia. A fost asociată uneori cu gruparea Kimsuky, legată de serviciile de informaţii militare din Coreea de Nord, responsabilă pentru atacuri în SUA şi Europa. Atacurile lansate de Konni vizează în principal exfiltrarea de date, metodele de operare având multe similarităţi cu cele utilizate de actorii statali APT37 şi Lazarus Group.
Recomandări generale
DNSC oferă următoarele recomandări pentru a proteja utilizatorii de aceste atacuri:
- Fiţi informaţi: Verificaţi regulat actualizările de la DNSC cu privire la riscurile, ameninţările şi vulnerabilităţile de securitate cibernetică.
- Utilizaţi parole puternice: Asiguraţi-vă că parolele sunt complexe şi unice pentru diferite conturi.
- Activaţi autentificarea cu doi factori: Aceasta adaugă un nivel suplimentar de securitate pentru conturile online.
- Realizaţi backup-ul datelor: Faceţi backup regulat al fişierelor importante pe un disc extern sau un serviciu de tip cloud.
- Verificaţi tipul fişierului: Asiguraţi-vă că nu rulaţi fişiere „comandă rapidă” (LNK) care pot conţine coduri maliţioase.
- Nu deschideţi ataşamente din e-mailuri necunoscute: Acestea pot conţine malware care poate infecta computerul.
- Verificaţi expeditorul şi adresa de e-mail: Asiguraţi-vă că expeditorul este o organizaţie de încredere.
- Scanare antivirus: Dacă bănuiţi că un ataşament este maliţios, folosiţi platforme de scanare antivirus pentru verificare.
