Des chercheurs de Fortinet ont découvert une campagne de cyberespionnage menée par un groupe connu sous le nom de Konni, qui serait associé à la Corée du Nord, qui utilise des documents Word pour s’attaquer aux utilisateurs de Windows.
Cara Lin, chercheur chez Fortinet, a identifié une tentative de livrer à ses victimes un document Microsoft Word malveillant en langue russe. Le responsable serait un groupe situé en Corée du Nord, connu sous le nom de Konni, le document, censé présenter les évaluations occidentales d’une opération militaire spéciale, sert de déguisement aux activités malveillantes qu’il contient.
L’attaque fait appel à un logiciel malveillant à base de macros qui, une fois activé, exécute un script Batch intérimaire. Ce script exécute des fonctions essentielles, notamment des vérifications du système, le contournement des paramètres du contrôle de compte d’utilisateur (UAC) et, enfin, le déploiement d’une DLL (bibliothèque de liens dynamiques) de vol d’informations.
LES PIRATES UTILISENT MICROSOFT WORD POUR VOLER VOS DONNÉES
La charge utile déployée par les pirates comprend un virus permettant un accès à distance (RAT) qui facilite l’extraction de données et l’exécution de commandes sur les appareils compromis. Le logiciel malveillant comporte notamment un contournement de l’UAC et une communication chiffrée avec un serveur de commande et de contrôle (C2), ce qui permet aux hackers d’exécuter des commandes sur les PC des victimes.
Konni s’est fait connaître pour son ciblage spécifique des entités russes, en utilisant des courriels de spear-phishing et des documents malveillants comme outils principaux pour accéder aux terminaux cibles. Les attaques précédentes du groupe ont démontré leur adaptabilité, en employant divers logiciels malveillants et outils pour éviter tous types de détection.
Des attaques récentes documentées par Knowsec et ThreatMon ont notamment exploité la vulnérabilité de WinRAR (CVE-2023-38831) ainsi que des scripts Visual Basic obscurcis pour introduire le RAT Konni et un script Windows Batch capable de collecter des données à partir des machines infectées.
Konni est loin d’être le seul acteur nord-coréen à s’en prendre à la Russie. Les preuves recueillies par Kaspersky, Microsoft et SentinelOne montrent que le collectif appelé ScarCruft (alias APT37) a également ciblé des sociétés commerciales et des entreprises d’ingénierie de missiles situées dans le pays.
phandroid