Kuzey Kore hükümeti için çalıştığına inanılan bilgisayar korsanları, Rusya Dışişleri Bakanlığı’nın (MID) bir personelinin e-posta hesabını ele geçirdi ve ülkenin diğer bölgelerindeki diplomatlara karşı zıpkınla kimlik avı saldırıları düzenledi.
Hedeflerden biri, Kuzey ve Güney Amerika ile ikili ilişkilerden sorumlu diğer şeylerin yanı sıra Rusya Federasyonu dışişleri bakan yardımcısı Sergey Alekseyeviç Ryabko idi.
Kimlik avı kampanyası, en az 19 Ekim 2021’den bu yana, APT37 (veya StarCruft, Group123, Erebus Operasyonu ve Daybreak Operasyonu) olarak bilinen Kuzey Koreli bilgisayar korsanlarının siber etkinliğiyle ilişkili bir uzaktan yönetim aracı (RAT) olan Konni kötü amaçlı yazılımını dağıtarak başladı.
Rus diplomatik hedefleri
Siber güvenlik firması Cluster25 geçen hafta yayınlanmış araştırma Aralık 2021’in sonuna doğru Konni RAT’yi Rus diplomatik aygıtındaki kişilere teslim eden bir kimlik avı kampanyası hakkında.
Araştırmacılar, bilgisayar korsanlarının Endonezya’daki Rus büyükelçiliği personeline gönderilen e-postalarda Yeni Yıl temasını bir tuzak olarak kullandığını buldu.
Bu, Sırbistan’daki Rus büyükelçiliğinde görevli diplomat dostlarından, tatil ekran koruyuculu bir ZIP arşivi gönderen bir tebrik mesajıydı.
Dosya ayıklandığında, sonunda Windows hizmeti “scrnsvc.dll” olarak gizlenmiş Konni RAT’ı teslim eden bir yürütülebilir dosyaydı.
Lumen’in Black Lotus Laboratuarlarındaki araştırmacılar, en az iki ay önce başlayan bu hedef odaklı kimlik avı kampanyalarını da izliyorlardı, muhtemel hedef aktif bir MID hesabının kimlik bilgilerini toplamaktı.
Saldırganlar amaçlarına ulaşmak için Rusya, Mail.ru ve Yandex’de yaygın olan e-posta hizmetleri için sahte ana bilgisayar adlarına güvendiler.
7 Kasım civarında başka bir kampanya başladı ve aşı durumu hakkında bilgi isteyen belgelerin bulunduğu bir arşivin indirilmesi için URL’ler sağladı.
Arşiv ayrıca, sisteme Konni bulaştıran bir kötü amaçlı yazılım yükleyiciyi çalıştıran, Covid-19 aşı durumunu kontrol etmek için kullanılan meşru bir yazılım gibi görünen yürütülebilir bir dosya içeriyordu.
Black Lotus Labs araştırmacılarına göre, Aralık ayında Cluster25 tarafından da tespit edilen kampanya, aynı tehdit aktörünün üçüncü kampanyasıydı ve güvenliği ihlal edilmiş MID hesabını “mskhlystovaMiddle_Improvement_6” kullandı.[.]ru” kötü niyetli e-postalar göndermek için.
Kötü niyetli mesajların alıcıları, Endonezya’daki Rus büyükelçiliği ve şu anda Dışişleri Bakan Yardımcısı olarak görev yapan Rus politikacı Sergey Alekseyeviç Ryabkov’du.
E-posta başlıklarına bakıldığında, mesajların kaynağının aynı IP adresi olduğu ortaya çıktı, 152.89.247[.]26, Ekim ayında kimlik avı kampanyası için kullanıldı, Siyah Lotus Laboratuvarları bulundu.
Lumen araştırmacılarından enfeksiyon zincirinin teknik analizi, “401 yetkisiz” sunucu hata yanıtında bir yükü gizlemeye yönelik kaçınma tekniği de dahil olmak üzere Cluster25’in bulgularını doğruladı.
Black Lotus Labs araştırmacıları, bunun “aracıyla neredeyse aynı olan birinci aşama bir aracı indiren” yüksek oranda hedeflenmiş bir kampanya olduğunu söylüyorlar. Malwarebytes tarafından keşfedildi Rus hedeflerine karşı bir Konni saldırısında.
Her iki siber güvenlik birimi de Rus diplomatik kuruluşlarına yönelik mızraklı kimlik avı kampanyalarını Konni’nin gelişmiş kalıcı tehdidine atfetme konusunda kendinden emin.