O APT28 está por trás dos ataques STIFF#BIZON atribuídos ao APT37 ligado à Coreia do Norte?

Pesquisadores da equipe Securonix Threat Research (STR) descobriram uma nova campanha de ataque, rastreada como STIFF#BIZON, visando organizações de alto valor em vários países, incluindo República Tcheca e Polônia. Os pesquisadores atribuem esta campanha ao grupo APT37 ligado à Coreia do Norte , também conhecido como Ricochet Chollima.

Os invasores empregaram o Konni RAT (trojan de acesso remoto), que foi detectado pela primeira vez pelos pesquisadores do Cisco Talos em 2017 e não foi detectado desde 2014 enquanto era empregado em ataques altamente direcionados. O RAT foi capaz de evitar a detecção devido à evolução contínua, é capaz de executar código arbitrário nos sistemas de destino e roubar dados.

O Konni RAT foi atribuído a agentes de ameaças ligados à Coreia do Norte rastreados como  Thallium  e  APT37 .

A cadeia de ataque começa com mensagens de phishing que tentam induzir as vítimas a abrir um anexo malicioso.

O anexo usado nesta campanha é um arquivo contendo um documento do Word (missile.docx) e um arquivo de atalho do Windows (_weapons.doc.lnk.lnk).

Uma vez aberto o arquivo LNK, a cadeia de infecção é iniciada.

“A execução do código começa incorporando pequenos trechos de código no arquivo de atalho que será executado e executado junto com o binário pretendido quando o usuário clicar duas vezes nele.” lê a análise publicada pelos especialistas. “Este código executa e executa o texto codificado em Base64 anexado ao final do arquivo míssil.docx.”

A carga útil Base64 é executada junto com um script do PowerShell que contata o C2 para baixar e executar os arquivos “weapons.doc” e “wp.vbs”.

O armas.doc é um documento chamariz, enquanto o wp.vbs é executado silenciosamente em segundo plano e cria uma tarefa agendada no host chamada “Office Update” que executa um script do PowerShell codificado em Base64.

Neste ponto, as comunicações C2 são novamente estabelecidas, permitindo que os invasores acessem o sistema.

Uma vez que o Konni RAT é carregado no sistema infectado, os agentes de ameaças podem impulsionar os seguintes recursos usando módulos específicos:

  • Capture.net.exe – Capture capturas de tela usando a API Win32 GDI e carregue os resultados compactados com gzip para o servidor C2.
  • chkey.net.exe – Extraia as chaves de estado armazenadas no arquivo Local State, criptografadas usando DPAPI. Uma chave de estado permite que os invasores descriptografem a descriptografia do banco de dados de cookies, útil no desvio de MFA.
  • pull.net.exe – Extraia credenciais salvas dos navegadores da vítima.
  • shell.net.exe – Estabeleça um shell interativo remoto que possa executar comandos a cada 10 segundos.

Para manter ainda mais a persistência, os agentes de ameaças usam uma versão modificada do malware Konni, eles podem baixar um arquivo .cab contendo vários arquivos relacionados ao malware (bat, dll, dat, ini, dll).

Os especialistas também discutem a possibilidade de operações de bandeira falsa, onde o grupo APT28 alinhado à Rússia pode estar disfarçado de APT37.

“Além disso, parece haver uma correlação direta entre endereços IP, provedor de hospedagem e nomes de host entre este ataque e dados históricos que vimos anteriormente do FancyBear/APT28 [3] . No final, o que torna esse caso específico interessante é o uso do malware Konni em conjunto com semelhanças de tradecraft com o APT28.” conclui o relatório.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

Cisco corrige zero-day no IOS/IOS XE

CVE-2025-20352 no SNMP do IOS/IOS XE permite DoS e até execução como root; aplique os…

3 semanas ago

Instalador falso do AnyDesk espalha o MetaStealer por meio do golpe ClickFix

Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…

1 mês ago

Atores de ameaças abusam da IA ​​Grok do X para espalhar links maliciosos

Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…

1 mês ago

WinRAR 0day: Explorações em andamento

As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.

2 meses ago

Escritórios do governo na Carolina do Norte, Geórgia, sofrem ataques cibernéticos

Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…

4 meses ago

Nytheon AI Tool está ganhando tração em forums de Hacking

O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…

4 meses ago