Эксперты Lumen Technologies и Cluster25 связали северокорейскую кибершпионскую группу Konni с серией направленных атак, целью которых были сотрудники Министерства иностранных дел Российской Федерации. Хакеры поздравили дипломатов с Новым годом и попытались взломать их машины, работающие под управление Windows.
По данным специалистов, обнаруженные письма были отправлены только в посольство России в Индонезии, но атака, скорее всего, была значительно масштабнее. Чтобы письма выглядели аутентичнее, они отправлялись с подделанных учетных записей @mid.ru, и создавалось впечатление, что письмо пришло из посольства России в Сербии.
«В этих письмах празднование Нового 2022 года было использовалось как приманка, — пишут эксперты. — В отличие от прошлых случаев, на этот раз северокорейская APT не использовала вредоносные документы в качестве вложений; вместо этого они прикрепляли к письмам файл "поздравление.zip", содержащий встроенный исполняемый файл, отвечающий за первую стадию заражения».
Согласно Cluster25, ZIP-архивы содержали файл заставки Windows (.scr), который при запуске устанавливал заставку с праздничными поздравлениями, а также троян удаленного доступа Konni (RAT), в честь которого и была названа хак-группа. Этот вредонос предоставляет злоумышленникам полный контроль над зараженными системами.
Исследователи говорят, что отслеживают атаки Konni на российских дипломатов как минимум с августа 2021 года. Впервые такая вредоносная активность была обнаружена и подробно описана компанией Malwarebytes в прошлом году.
