به گزارش کارگروه حملات سایبری سایبربان؛ محققان شرکت مخابرات آمریکایی لومن تکنالجیز (Lumen Technologies) و شرکت امنیت سایبری کلاستر 25 (Cluster25) در گزارشی مدعی شدند یک گروه جاسوسی سایبری کره شمالی به نام کانی (Konni) کارکنان وزارت خارجه روسیه را هدف قرار داده است. هکرها سال نو را به دیپلماتها تبریک گفته و در تلاش بودهاند سیستمهای ویندوزی آنها را هک کنند.
بر طبق گزارش شرکتهای مذکور، ایمیلهای شناساییشده فقط به سفارت روسیه در اندونزی ارسالشدهاند، اما حمله در مقیاس بزرگتر انجامشده است. برای اینکه ایمیلها معتبر به نظر برسند، از حسابهای جعلی @mid.ru ارسالشدهاند و این تصور به وجود آمده که ایمیلها از سفارت روسیه در صربستان رسیده است.
در ایمیلها از تبریکات سال نو 2022 بهعنوان طعمه استفادهشده است. برخلاف موارد قبلی، این بار گروه ایپیتی کانی از اسناد مخرب بهعنوان پیوست استفاده نکرده، در عوض، یک فایل «.zip تبریک» حاوی فایل اجرایی مرحله اول آلودگی را به ایمیلها ضمیمه کرده است.
آرشیوهای زیپ حاوی یک فایل اسپلش اسکرین ویندوز بودهاند که هنگام راهاندازی یک صفحه اسپلش با تبریکات سال نو و همچنین تروجان دسترسی از راه دور کانی را که به اسم گروه نامگذاری شده، نصب کرده است. این بدافزار کنترل کامل سیستمهای آلوده را در اختیار مهاجمان قرار داده است.
محققان میگویند که از اوت 2021 حملات کانی به دیپلماتهای روسی را رصد میکنند. محققان مالوربایتس نیز اولین بار در سال گذشته از چنین فعالیتهای مخربی خبر داده بودند.
