O noua campanie de phishing descoperita de DNSC

Directoratul National de Securitate Cibernetica (DNSC) a identificat, pe data de 10 martie, o campanie de phishing activa, atribuita foarte probabil gruparii Konni, asociata frecvent cu actorii statali nord-coreeni NK, cunoscuti in comunitatea de securitate cibernetica ca APT37 sau Kimsuki. Aceasta campanie utilizeaza fisiere malitioase de tip LNK atasate email-urilor, avand ca scop infectarea utilizatorilor vizati.

Metodologia atacului

Atacatorii folosesc fisiere de tip LNK pentru a distribui malware-ul AsyncRAT. Aceasta tehnica presupune utilizarea fisierelor de comanda rapida ale sistemului de operare Windows pentru a executa comenzi malitioase, eliminand astfel necesitatea utilizarii macrocomenzilor, care sunt adesea blocate de solutiile de securitate.

Cand utilizatorii deschid fisierele infectate, un script PowerShell este executat automat, initiind descarcarea si deschiderea unui document fals pentru a distrage atentia victimei. intre timp, malware-ul AsyncRAT este instalat pe dispozitivul compromis, permisand atacatorilor sa preia controlul asupra sistemului.

Utilizarea infrastructurii cloud pentru atacuri

Pentru descarcarea si instalarea componentelor malitioase, atacatorii folosesc atat servere proxy de comanda si control (C&C), cat si servicii cloud de inchidere, precum Dropbox si Google Drive. Aceasta metoda ajuta la mascarea activitatii malitioase si creste sansele de succes ale atacului, deoarece aceste servicii sunt considerate de inchidere de catre victime.

Un aspect semnificativ al atacurilor recente este faptul ca informatiile C&C nu mai sunt codificate direct in malware, ci sunt transmise ca parametri in momentul executarii. Aceasta tehnica face detectarea si analizarea malware-ului mult mai dificile pentru specialistii in securitate cibernetica.

Konni: O amenintare persistenta avansata (APT)

Gruparea Konni este activa in spatiul cibernetic inca din 2014, fiind cunoscuta pentru atacurile sale bazate pe tehnici de phishing si spear-phishing. Principalele sale tinte sunt infrastructurile informatice din Coreea de Sud si Rusia, desi atacuri atribuite acestei grupari au fost observate si in SUA si Europa.

Modul de operare al Konni prezinta similaritati cu cel al altor grupari cibernetice asociate cu actorii statali nord-coreeni, precum APT37 si Lazarus Group. Aceste atacuri au ca scop principal exfiltrarea de date si informatii din sistemele vizate, fiind o amenintare serioasa pentru organizatiile din diverse industrii.

Cum te poti proteja impotriva acestor atacuri?

Pentru a reduce riscul de a fi victima unui atac de tip phishing sau malware, este esential sa adoptati masuri proactive de securitate:

Nu deschideti atasamente suspecte din email-uri necunoscute sau nesolicitate.

Verificati sursa email-urilor si analizati atent orice mesaj care cere informatii sensibile.

Evitati descarcarea fisierelor din surse neoficiale sau link-uri nesigure.

Utilizati solutii antivirus actualizate, capabile sa detecteze amenintari precum AsyncRAT.

Activati optiunile de securitate ale serviciilor cloud pe care le utilizati pentru a preveni accesul neautorizat.

Educati angajatii cu privire la riscurile phishing-ului si implementati politici stricte de securitate cibernetica.

Concluzii

Atacurile cibernetice evolueaza constant, iar metodele utilizate de gruparile APT devin din ce in ce mai sofisticate. Campania actuala de phishing atribuita Konni demonstreaza ca infrastructurile cloud sunt tot mai frecvent folosite de atacatori pentru a distribui malware, inseland sistemele de securitate traditionale.

Securitatea cibernetica este o responsabilitate comuna, iar informarea continua este esentiala pentru prevenirea atacurilor. Prin adoptarea unor masuri proactive si prin cresterea vigilentei fata de amenintarile cibernetice, utilizatorii pot reduce considerabil riscul de compromitere a sistemelor lor.

Protejati-va datele si fiti vigilenti!

sursa articol: dnsc.ro

Redactia hit.ro