به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، محققان شرکت امنیت سایبری کره جنوبی جنیانز (Genians) اعلام کردهاند که این گروه از تاکتیکها، تکنیکها و روشهای مشابهی در حملات خود به مسکو و سئول استفاده میکند.
هدف اصلی این حملات جاسوسی سایبری است.
از سال 2021 به بعد، گروه کانی (Konni) وزارت امور خارجه روسیه، سفارت روسیه در اندونزی و چندین شرکت کرهای از جمله یک شرکت حقوقی مالیاتی را هدف قرار داده است.
به عنوان مثال، در ژانویه 2022، کانی دیپلماتهای سفارت روسیه را طی تعطیلات زمستانی با ایمیلهای تبریک سال نو هدف قرار داد تا با استفاده از بدافزار آنها را آلوده کند.
به گفته شرکت جنیانز، فعالیت این گروه از سال 2014 آغاز شده و همچنان ادامه دارد.
هکرهای مظنون کره شمالی از ایمیلهای فیشینگ برای دسترسی اولیه به سیستمهای هدف استفاده میکنند و اغلب از موضوعاتی مانند مالیات، بورسیهها و امور مالی به عنوان طعمه در ایمیلهای مخرب بهره میگیرند.
تروجان دسترسی از راه دور سفارشی کانی، به هکرها امکان کنترل کامل سیستمهای آلوده را میدهد.
در حملات به هر دو کشور روسیه و کره جنوبی، این گروه از تکنیکهای مشابهی برای اتصال دستگاههای آلوده به سرورهای فرماندهی و کنترل (C2) استفاده میکند.
در هر دو مورد، ماژولهای مخرب از طریق فایلهای اجرایی روی دستگاههای قربانی نصب میشوند و فرآیند اتصال به سرور فرماندهی و کنترل از طریق دستورات داخلی انجام میگیرد.
محققان بیان کردند:
کنشگران تهدید سالها از الگوها و سناریوهای حمله مشابهی استفاده کردهاند. با این حال، آنها همچنین از تاکتیکهای حمله نامتعارف برای افزایش نرخ موفقیت خود استفاده میکنند.
محققان تأکید کردهاند که توجه به شباهتهای حملات این گروه در کشورهای مختلف میتواند به متخصصان امنیتی کمک کند تا از نهادهای خود بهتر محافظت کنند و حملات را با دقت بیشتری شناسایی کنند.
