Недавний отчет исследователей в области кибербезопасности раскрывает детали последних атак на южнокорейские объекты. Особое внимание уделяется деятельности хакерских групп APT37 и Konni, предположительно связанных с Северной Кореей.
Как известно, группировки северокорейского происхождения уже давно выбрали криптовалютный сектор в качестве одной из своих целей. Однако до сих пор основная угроза исходила со стороны группы Lazarus. Отчет указывает на то, что теперь в игру вступила Konni, которая в последнее время начала применять новые техники, в том числе в отношении не южнокорейских жертв.
В рамках новой кампании злоумышленники эксплуатируют ранее не использованную уязвимость в архиваторе WinRAR – CVE-2023-38831 . Когда жертва пытается открыть заархивированный HTML-файл, вредоносный код активируется, позволяя атакующим получить удаленный доступ к системе.
Не менее интересен сложный механизм обхода протоколов безопасности. После активации зловредное ПО определяет, на какой операционной системе работает устройство – 64-битной или 32-битной. Дальше код связывается с сервером и загружает дополнительные инструкции, закодированные в формате Base64. Эти инструкции преобразуются в исполняемый файл и запускаются.
Затем программа проверяет, есть ли на компьютере удаленная сессия, и какая версия операционной системы установлена. В зависимости от полученных данных код выбирает один из методов обхода UAC (User Account Control), чтобы установить для себя расширенные привилегии.
Атакующие используют технику динамической загрузки дополнительных модулей. Это позволяет им быстро адаптироваться и модернизировать код. В завершение процесса атаки в системе создается скрытый сервис под названием “Remote Database Service Update”, что затрудняет обнаружение вируса и последующий анализ инцидента.