به گزارش کارگروه حملات سایبری سایبربان؛ تحلیلگران تهدید از یک کمپین جدید پرده برداری کرده اند و آن را به گروه وابسته به کره شمالی APT37 ارتباط داده اند. این گروه هکری سازمان های مهم و سرشناس جمهوری چک، لهستان و دیگر کشورهای اروپایی را هدف قرار می دهد.
هکرها در این کمپین بدافزاری به نام Konni (کُنی) را مورد استفاده قرار داده اند. این بدافزار قابلیت ایجاد پایداری و ارتقای سطح دسترسی بر روی سیستم میزبان را دارد.
ارتباط این بدافزار با حملات سایبری مرتبط با کره شمالی از سال 2014 تا به الان قطع نشده است. اخیرا نیز رد پای این بدافزار در کمپین فیشینگ هدف دار علیه وزارت امور خارجه روسیه دیده شده است.
کمپین اخیر هدف قرار دهنده کشورهای اروپایی توسط محققین سکیورونیکس شناسایی شده است. آن ها نام این کمپین را STIFF#BIZON گذاشته اند.
این حمله با دریافت ایمیل فیشینگ حاوی یک فایل ورد و یک فایل شورتکات ویندوز آغاز می شود.
هنگامی که فایل LNK باز می شود، کد به منظور یافتن یک پاورشل اسکریپت در فایل ورد و ایجاد ارتباطات کنترل و فرمان اجرا می شود و دو فایل اضافی دیگر را نیز دانلود می کند. این فایل دانلود شده در واقع یک تله است. فایل VBS نیز به صورت همزمان و مخفیانه در پس زمینه اجرا می شود و کار برنامه ریزی شده را بر روی سیستم میزبان اجرایی می کند.
بازیگر مخرب در این مرحله از حمله، RAT را بارگذاری و یک لینک تبادل داده را ایجاد کرده است. بازیگر مخرب حالا می تواند این فعالیت ها را انجام دهد:
- تهیه اسکرین شات
- خارج سازی داده های احراز هویت بایگانی شده از مرورگرهای وب قربانیان
- راه اندازی یک شل تعاملی راه دور که می تواند هر 10 ثانیه یک بار فرمان ها را اجرا کند
با وجود آن که تاکتیک ها و ابزار به کار رفته در این کمپین به APT37 ارتباط دارد اما سکیورونیکس ارتباط کمپین STIFF#BIZON با گروه روس APT28 را نیز غیر محتمل نمی داند.
