Une récente découverte des chercheurs de Fortinet met en lumière une campagne de cyberespionnage orchestrée par un groupe potentiellement lié à la Corée du Nord, connu sous le nom de Konni. Cette opération malveillante exploite des documents Microsoft Word pour cibler spécifiquement les utilisateurs du système d’exploitation Windows.
Cara Lin, chercheur chez Fortinet, a identifié une tentative de distribution d’un document malveillant en langue russe utilisant Microsoft Word. Ce document, apparemment dédié aux évaluations occidentales d’une opération militaire spéciale, agit comme un leurre pour dissimuler les activités malveillantes associées au groupe Konni.
Table of Contents
ToggleLe Modus Operandi de l’Attaque
L’attaque repose sur l’utilisation d’un logiciel malveillant à base de macros intégré au document Word. Une fois que ces macros sont activées, un script Batch est déclenché. Ce script exécute plusieurs opérations critiques, notamment des vérifications du système, le contournement des paramètres du contrôle de compte d’utilisateur (UAC), et finalement, le déploiement d’une DLL (bibliothèque de liens dynamiques) visant à voler des informations.
Publications similaires :
- Un Malware Invisible depuis 5 ans infecte plus d’un million de PC sous Windows et Linux
- Conseils pour protéger votre vie privée sur les médias sociaux
- Comment reconnaître et éviter les attaques de phishing sur les réseaux sociaux
- Un outil développé par les chercheurs français permet la détection des malwares.
La Charge Utile et ses Conséquences
La charge utile déployée par les pirates informatiques comprend un virus permettant un accès à distance (RAT), facilitant ainsi l’extraction de données et l’exécution de commandes sur les appareils compromis. Le logiciel malveillant est équipé d’un contournement de l’UAC et établit une communication chiffrée avec un serveur de commande et de contrôle (C2), permettant aux pirates d’exécuter des commandes à distance sur les PC des victimes.
Konni est particulièrement connu pour son ciblage spécifique des entités russes, utilisant des courriels de spear-phishing et des documents malveillants comme principaux vecteurs d’attaque. Le groupe a démontré une adaptabilité impressionnante, utilisant une variété de logiciels malveillants et d’outils pour échapper à la détection.
Des attaques récentes, documentées par Knowsec et ThreatMon, ont exploité diverses vulnérabilités, notamment celle de WinRAR (CVE-2023-38831), ainsi que des scripts Visual Basic obscurcis pour introduire le RAT Konni et un script Windows Batch capable de collecter des données à partir des machines infectées.
Multiples Acteurs Nord-Coréens en Action
Il est essentiel de noter que Konni n’est pas le seul groupe nord-coréen actif. Des preuves recueillies par des acteurs majeurs de la cybersécurité tels que Kaspersky, Microsoft et SentinelOne suggèrent que le collectif connu sous le nom de ScarCruft (alias APT37) a également ciblé des sociétés commerciales et des entreprises d’ingénierie de missiles en Russie.
Sources: Fortinet, Knowsec, ThreatMon, Kaspersky, Microsoft, SentinelOne.