Konni Gunakan Dokumen Microsoft Word Berbahasa Rusia untuk Kirim Malware

The Hacker News

Cyberthreat.id - Serangan phishing baru telah diamati memanfaatkan dokumen Microsoft Word berbahasa Rusia untuk mengirimkan malware yang mampu mengambil informasi sensitif dari host Windows yang disusupi.

The Hacker News menyebutkan, aktivitas tersebut telah dikaitkan dengan aktor ancaman bernama Konni, yang dinilai memiliki kesamaan dengan cluster Korea Utara yang dilacak sebagai Kimsuky (alias APT43).

“Kampanye ini bergantung pada trojan akses jarak jauh (RAT) yang mampu mengekstraksi informasi dan menjalankan perintah pada perangkat yang disusupi,” kata peneliti Fortinet FortiGuard Labs, Cara Lin dalam analisis yang diterbitkan minggu ini.

Kelompok spionase dunia maya ini terkenal karena menargetkan Rusia, dengan modus operandi yang melibatkan penggunaan email spear-phishing dan dokumen berbahaya sebagai titik masuk serangan mereka.

Serangan baru-baru ini yang didokumentasikan oleh Knowsec dan ThreatMon telah memanfaatkan kerentanan WinRAR (CVE-2023-38831) serta mengaburkan skrip Visual Basic untuk menghapus Konni RAT dan skrip Windows Batch yang mampu mengumpulkan data dari mesin yang terinfeksi.

“Tujuan utama Konni mencakup eksfiltrasi data dan melakukan kegiatan spionase,” kata ThreatMon.

“Untuk mencapai tujuan ini, kelompok ini menggunakan beragam malware dan alat, sering kali mengadaptasi taktik mereka untuk menghindari deteksi dan atribusi.”

Urutan serangan terbaru yang diamati oleh Fortinet melibatkan dokumen Word berisi makro yang, jika diaktifkan, menampilkan artikel dalam bahasa Rusia yang konon berisi tentang "Penilaian Barat terhadap Kemajuan Operasi Militer Khusus".

Makro Visual Basic for Application (VBA) selanjutnya meluncurkan skrip Batch sementara yang melakukan pemeriksaan sistem, bypass Kontrol Akun Pengguna (UAC), dan pada akhirnya membuka jalan bagi penerapan file DLL yang menggabungkan kemampuan pengumpulan informasi dan eksfiltrasi.

“Muatannya menggabungkan bypass UAC dan komunikasi terenkripsi dengan server C2, memungkinkan pelaku ancaman untuk menjalankan perintah istimewa,” kata Lin.

Konni bukanlah satu-satunya aktor ancaman Korea Utara yang menargetkan Rusia. Bukti yang dikumpulkan oleh Kaspersky, Microsoft, dan SentinelOne menunjukkan bahwa kelompok musuh yang disebut ScarCruft (alias APT37) juga menargetkan perusahaan perdagangan dan perusahaan teknik rudal yang berlokasi di negara tersebut.

Pengungkapan ini juga dilakukan kurang dari dua minggu setelah Solar, cabang keamanan siber dari perusahaan telekomunikasi milik negara Rusia Rostelecom, mengungkapkan bahwa pelaku ancaman dari Asia – terutama dari Tiongkok dan Korea Utara – bertanggung jawab atas sebagian besar serangan terhadap infrastruktur negara tersebut.

“Kelompok Lazarus Korea Utara juga sangat aktif di wilayah Federasi Rusia,” kata perusahaan itu.

“Sampai awal November, peretas Lazarus masih memiliki akses ke sejumlah sistem Rusia.”[]