Agencia de gobierno de EE. UU. Golpeada con nuevo malware ruso

Estatua fracturada, una nueva campaña dirigida a una de las agencias del gobierno de EE. UU. En el verano del año pasado. Si bien la campaña siguió a un ataque regular de spear-phishing, reveló un nuevo malware llamado CARROTBALL y se considera el rastro del grupo de ataque ruso KONNI.

Infección a través de documentos

Unidad 42 de Palo Alto investigado Esta campaña descubrió que se llevó a cabo entre julio y octubre del año pasado y contenía un nuevo gotero de malware que estaba incrustado en documentos de Word y enviado a personas que trabajan para agencias gubernamentales.

Malware CARROTBALL
Imagen vía Flickr

Los atractivos documentos de Word se titulan como cuestiones de relaciones geopolíticas relacionadas con Corea del Norte. Estos documentos contenían ZANAHORIA cuentagotas de malware, un nuevo CARROTBALL malware que se envía a través de seis documentos únicos a diez agencias gubernamentales / personas desde cuatro direcciones de correo electrónico rusas únicas.

Todos los documentos contenían malware que lanza SysCon, un troyano de acceso remoto que se basa en FTP para comunicarse con el servidor C2. Este grupo de creación de malware, KONNI, existe desde 2014, pero fue famoso por sus ataques en 2018. El nombre KONNI en realidad se asignó a un malware RAT específico, pero se encontró ausente en ataques recientes debido a la superposición de TTP. Esto ha llevado a los investigadores a definir a KONNI como el grupo de ataque, en lugar de su malware ahora.

El análisis de los investigadores reveló que este nuevo malware evolucionó a partir de sus TTP (tácticas, técnicas y procedimientos), pero no mucho en comparación con la campaña anterior en noviembre de 2018. Las familias de malware descartadas como CARROTBALL servirían como puerta trasera de SysCon e infectarían los sistemas con otros malware. familias.

Esta campaña, como dijeron los investigadores de la Unidad 42, envió correos electrónicos de phishing con el asunto como «El clima de inversión de Corea del Norte«De una dirección rusa como»[email protected][.]ru. Además, el atacante envió lo mismo a varios destinatarios como uno a un individuo de la agencia gubernamental de EE. UU., Dos eran de otros individuos no estadounidenses, etc.