Atak na rosyjskich dyplomatów. Korea Północna wysłała swoje życzenia noworoczne

Kampania wycelowana w rosyjskich urzędników trwa co najmniej od 19 października ubiegłego roku. Wykorzystuje się w niej m.in. oprogramowanie Konni umożliwiające zdalne zarządzanie atakowanym systemem (wirus typu RAT), a jego aktywność wiązana jest z cyberprzestępcami pracującymi na zlecenie Korei Północnej, działającymi w ramach grupy znanej jako APT37 (StarCruft, Group123, Operation Erebus, Operation Daybreak).

Złośliwego nowego roku

Malware Konni było dostarczane do rosyjskich dyplomatów przez zhakowane maile pracowników MSZ. Złośliwa korespondencja zawierała życzenia noworoczne w języku rosyjskim i plik mający być noworocznym... wygaszaczem ekranu na komputer. To właśnie ten załącznik po rozpakowaniu z archiwum ZIP zawierał złośliwy plik , instalujący Konni na komputerze ofiary, oczywiście dobrze to maskując - wirus widoczny był jako "scrnsvc.dll", co nie wzbudza zbyt wielu podejrzeń.

Kampanię wykryła firma Cluster25 z branży cyberbezpieczeństwa.

Wysoko postawione cele kampanii

Jednym z celów ataku spear-phishingowego, w którym pracownicy MSZ niższego szczebla byli tylko narzędziem, był wiceminister spraw zagranicznych Federacji Rosyjskiej Siergiej Aleksiejewicz Riabkow, odpowiedzialny m.in. za wzajemne relacje z Ameryką Północną i Południową.

Nie tylko noworoczne oszustwo

Inną, lecz prawdopodobnie powiązaną z opisaną wyżej kampanię spear-phishingową wykryli badacze cyberbezpieczeństwa z firmy Black Lotus Labs. Ich zdaniem zaczęła się ona co najmniej dwa miesiące wcześniej niż "noworoczna" seria ataków na dyplomatów. Jej celem nie była również infekcja, a kradzież danych do logowania w serwisach wykorzystywanych przez ministerstwo spraw zagranicznych w codziennej pracy.

Cyberprzestępcy wykorzystywali w swoich działaniach adresy e-mail z popularnych w Rosji domen e-mail - Mail.ru i Yandex, wysyłając urzędnikom złośliwą korespondencję zawierającą odnośnik do pobrania archiwum ZIP dokumentów dotyczących szczepień przeciwko COVID-19. Plik zawierał również program, który udawał oprogramowanie wykorzystywane do sprawdzania, czy ktoś jest zaszczepiony. Oczywiście to właśnie za jego pośrednictwem komputer ofiary był infekowany wirusem Konni.

Trzy kampanie północno-koreańskich cyberprzestępców

Zdaniem Black Lotus Labs, za łącznie trzema wykrytymi kampaniami spear-phishingowymi stoi ten sam aktor, korzystający z przejętego adresu urzędniczki rosyjskiego ministerstwa spraw zagranicznych: mskhlystova@mid\[.\]ru. Opinię tę potwierdza analiza adresu IP serwera, z którego wychodziły złośliwe maile.

Z adresu tego zaatakowano nie tylko Riabkowa, ale też rosyjskich dyplomatów w Indonezji.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.