俄罗斯政府软件被安装后门,传播恶意软件
编译:代码卫士
DCSO 公司认为该后门源自朝鲜黑客组织,后者的目的是攻击俄罗斯。Konni(或称为 Opal Sleet、Osmium 或 TA406)活动集群具有固定的在俄罗斯实体部署Konni RAT 的模式,攻击者被指至少从2021年10月开始攻击俄罗斯外交部。2023年11月,Fortinet FortiGuard 实验室指出,攻击者使用俄语版本的微软 Word 文档传播恶意软件,它可从受攻陷的 Windows 主机处收割敏感信息。
DCSO 公司提到,在软件安装程序中封装 Konni RAT 是朝鲜黑客组织在2023年10月采用的技术。该组织利用一个被安装后门的俄罗斯报税软件 Spravki BK 来传播该木马。
DCSO 公司提到,“在这个案例中,被安装后门的安装程序似乎用于名为‘Statistika KZU’的工具。从安装路径、文件元数据和绑定到该安装程序的用户手册来看,该软件供俄罗斯外交部内部使用,具体用于中继来自海外领事馆通过一个安全信道向外交部领事部门发送年度报告文件。”
被木马化的安装程序是一个 MSI 文件。当该文件启动时会触发感染序列来建立与C2服务器的连接来等待进一步的指令。该RAT具有的能力包括文件传输和命令执行,据称早在2014年就投入使用,且之前被朝鲜其它黑客组织如APT37 所利用。
目前尚不清楚攻击者如何设法获取该安装程序的副本,因为该程序无法公开获取。但推测可能是该组织长期以来对俄罗斯发动间谍操作,从而助力他们找到了用于后续攻击的可能工具。
虽然朝鲜攻击俄罗斯并非新闻,但这一发生在两国关系不断升温的时候令人惊讶。有报道称,俄罗斯总统普京赠送给朝鲜领导人金正恩一辆由俄罗斯生产的豪华汽车。
DCSO 公司提到,“从某种程度而言,这一结果不应令人惊讶;不断增强的战略性接近不足以完全覆盖朝鲜的需求,朝鲜目前的需求是能够评估和验证俄罗斯的外交政策规划和目标。”
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。