Konni RAT در حمله به وزارت امور خارجه روسیه شناسایی شد

شرکت امنیت سایبری آلمانی DCSO در اوایل سال جاری (۲۰۲۴)، یک نمونه تهدید جالب به نام بدافزار KONNI RAT را مشاهده کرد که برای اولین بار در اواسط ژانویه در VirusTotal آپلود شده بود و به نظر می‌رسد بخشی از فعالیت های مرتبط با کره شمالی است که وزارت امور خارجه روسیه را مورد هدف قرار داده  است.

KONNI RAT، یک ابزار مدیریت از راه دور مرتبط با کره شمالی می‌باشد که از اوایل سال 2014 شناسایی شده است. خانواده بدافزار KONNI RAT به طور بالقوه با APT37، یک گروه جاسوسی سایبری کره شمالی فعال از سال 2012 مرتبط می‌باشد. قربانیان اصلی این گروه سازمان‌های سیاسی کره جنوبی، ژاپن، ویتنام، روسیه، نپال، چین، هند، رومانی، کویت و سایر بخش‌های خاورمیانه هستند.

این بار، نصب کننده ابزاری که احتمالاً توسط دپارتمان کنسول وزارت امور خارجه روسیه (MID) استفاده می‌شود، برای ارائه تروجان دسترسی از راه دور KONNI RAT (معروف به UpDog) به عنوان بکدور مورد استفاده قرار گرفته است.

این یافته‌ها از سوی شرکت DCSO به دست آمده است، که این فعالیت را به عنوان منشأ فعالیت‌های جمهوری دموکراتیک خلق کره که روسیه را مورد هدف قرار می‌دهند، مرتبط می‌داند.

خوشه فعالیت KONNI (با نام مستعار Opal Sleet، Osmium، یا TA406) دارای یک الگوی ثابت برای استقرار KONNI RAT علیه نهادهای روسی است که عامل تهدید نیز حداقل از اکتبر 2021 به حملاتی علیه MID مرتبط می‌باشد.

آزمایشگاه FortiGuard شرکت فورتینت در بیست و سوم نوامبر 2023، استفاده از اسناد روسی زبان مایکروسافت ورد را برای ارائه بدافزارهایی که قادر به جمع آوری اطلاعات حساس از میزبان های ویندوز تحت نفوذ هستند، فاش کرد.

پکیج KONNI RAT در نصب‌کننده‌های نرم‌افزار، تکنیکی است که قبلاً توسط این گروه در اکتبر 2023 اتخاذ شده است، زمانی که مشخص شد از یک نرم‌افزار تشکیل پرونده مالیاتی روسی به نام Spravki BK برای توزیع تروجان استفاده می‌کند.

در نمونه اخیر، به نظر می‌رسد که نصب کننده بکدور، ابزاری به نام ‘Statistika KZU’ (Cтатистика КЗУ) می‌باشد.

بر اساس مسیرهای نصب، متادیتای فایل و کتابچه راهنمای کاربر همراه با نصب کننده، این نرم افزار برای استفاده داخلی در وزارت امور خارجه روسیه (MID)، به طور خاص به منظور انتقال فایل‌های گزارش سالانه از پست‌های کنسولی خارج از کشور به بخش کنسولی MID از طریق یک کانال امن در نظر گرفته شده است.

نصب‌کننده تروجانیزه‌ شده یک فایل (MSI) است که پس از راه‌اندازی، توالی نفوذ را برای برقراری تماس با سرور فرمان و کنترل (C2^[1]) آغاز می‌کند تا منتظر دستورالعمل‌های بیشتر بماند.

اعتقاد بر این است که تروجان دسترسی از راه دور که دارای قابلیت هایی برای انتقال فایل و اجرای فرمان است، در اوایل سال 2014 و همچنین توسط دیگر عوامل تهدید کره شمالی معروف به Kimsuky و ScarCruft  (معروف به APT37) مورد استفاده قرار گرفته است.

در حال حاضر مشخص نیست که عوامل تهدید چگونه توانسته‌اند یک نسخه از نصب کننده را دریافت کنند اما گمان می‌رود که سابقه طولانی عملیات جاسوسی با نفوذ به روسیه ممکن است به آنها در شناسایی ابزارهای احتمالی برای حملات بعدی کمک کرده باشد. در حالی که نفوذ به روسیه توسط کره شمالی پدیده جدیدی نیست، این توسعه در بحبوحه نزدیکی ژئوپلتیکی فزاینده بین دو کشور صورت گرفته است.

[1] command-and-control

منابع