June 16, 2024

Network System

Une technologie unique

Des pirates nord-coréens attaquent des cibles européennes avec le malware Konni RAT

3 min read

Drapeau de la Corée du Nord

Les analystes des menaces ont découvert une nouvelle campagne attribuée à APT37, un groupe nord-coréen de pirates informatiques, ciblant des organisations de grande valeur en République tchèque, en Pologne et dans d’autres pays européens.

Dans cette campagne, les pirates utilisent un logiciel malveillant connu sous le nom de Konni, un cheval de Troie d’accès à distance (RAT) capable d’établir la persistance et d’effectuer une élévation des privilèges sur l’hôte.

Konni est associé à des cyberattaques nord-coréennes depuis 2014, et plus récemment, il a été vu dans une campagne de harponnage ciblant le ministère russe des Affaires étrangères.

La dernière campagne, toujours en cours, a été observée et analysée par des chercheurs de Sécuronixqui l’appelle STIFF#BIZON, et ressemble à des tactiques et des méthodes qui correspondent à la sophistication opérationnelle d’un APT (menace persistante avancée).

La campagne STIFF#BIZON

L’attaque commence par l’arrivée d’un e-mail de phishing avec une pièce jointe d’archive contenant un document Word (missile.docx) et un fichier de raccourci Windows (_weapons.doc.lnk.lnk).

Lorsque le fichier LNK est ouvert, le code s’exécute pour trouver un script PowerShell codé en base64 dans le fichier DOCX afin d’établir la communication C2 et de télécharger deux fichiers supplémentaires, « weapons.doc » et « wp.vbs ».

Fichier de raccourci malveillant
Propriétés du fichier de raccourci malveillant

Le document téléchargé est un leurre, soi-disant un rapport d’Olga Bozheva, une correspondante de guerre russe. Dans le même temps, le fichier VBS s’exécute silencieusement en arrière-plan pour créer une tâche planifiée sur l’hôte.

PowerShell encodé en Base64 utilisé dans la campagne
PowerShell encodé en Base64 ajoute une tâche planifiée (Sécuronix)

A cette phase de l’attaque, l’acteur a déjà chargé la RAT et établi un lien d’échange de données, et est capable d’effectuer les actions suivantes :

  • Capturez des captures d’écran à l’aide de l’API Win32 GDI et exfiltrez-les au format GZIP.
  • Extrayez les clés d’état stockées dans le fichier d’état local pour le déchiffrement de la base de données de cookies, utile pour contourner MFA.
  • Extrayez les informations d’identification enregistrées des navigateurs Web de la victime.
  • Lancez un shell interactif à distance qui peut exécuter des commandes toutes les 10 secondes.

Dans la quatrième étape de l’attaque, comme indiqué dans le diagramme ci-dessous, les pirates téléchargent des fichiers supplémentaires prenant en charge la fonction de l’échantillon Konni modifié, les récupérant sous forme d’archives «.cab» compressées.

Diagramme de la chaîne d'infection
Diagramme de la chaîne d’infection (Sécuronix)

Celles-ci incluent des DLL qui remplacent les bibliothèques de services Windows légitimes telles que “wpcsvc” dans System32, qui est exploitée pour exécuter des commandes dans le système d’exploitation avec des privilèges utilisateur plus élevés.

Liens possibles vers APT28

Alors que les tactiques et les outils pointent vers APT37, Securonix souligne la possibilité qu’APT28 (alias FancyBear) soit derrière la campagne STIFF#BIZON.

“Il semble y avoir une corrélation directe entre les adresses IP, le fournisseur d’hébergement et les noms d’hôte entre cette attaque et les données historiques que nous avons déjà vues de FancyBear/APT28”, conclut le rapport.

Les groupes de menaces parrainés par l’État tentent souvent d’imiter les TTP d’autres APT habiles pour masquer leur trace et induire en erreur les analystes des menaces, de sorte que les risques d’erreur d’attribution, dans ce cas, sont importants.