Se ha observado un nuevo ataque de phishing que aprovecha un documento de Microsoft Word con “palabras en ruso” para entregar malware capaz de recopilar información confidencial de hosts de Windows comprometidos.

La actividad mencionada ha sido atribuida a un actor de amenazas conocido como Konni, el cual se cree que comparte similitudes con un grupo norcoreano identificado como Kimsuky, también conocido como APT43.

“Esta campaña se basa en un troyano de acceso remoto (RAT) con la capacidad de extraer información y ejecutar comandos en dispositivos comprometidos”. Cara Lin, investigadora de Fortinet FortiGuard Labs

Este grupo de ciberespionaje se destaca por dirigirse a Rusia, utilizando correos electrónicos de phishing y documentos maliciosos como puntos de entrada para llevar a cabo sus ataques.


Recientes ataques, detallados por Knowsec y ThreatMon, han aprovechado la vulnerabilidad WinRAR (CVE-2023-38831). Estos ataques emplean scripts de Visual Basic ofuscados para erradicar Konni RAT, junto con un script de Windows Batch capaz de recopilar datos de las máquinas infectadas.

CVE-2023-38831 Detalle

RARLAB WinRAR anterior a 6.23 permite a los atacantes ejecutar código arbitrario cuando un usuario intenta ver un archivo benigno dentro de un archivo ZIP. El problema se produce porque un archivo ZIP puede incluir un archivo benigno (como un archivo .JPG normal) y también una carpeta que tiene el mismo nombre que el archivo benigno, y se procesa el contenido de la carpeta (que puede incluir contenido ejecutable). durante un intento de acceder solo al archivo benigno. Esto fue explotado en estado salvaje desde abril hasta octubre de 2023.

ThreatMon comentó: “Los objetivos primordiales de Konni abarcan la filtración de datos y actividades de espionaje. Para lograr estos fines, el grupo utiliza una amplia variedad de malware y herramientas, ajustando con regularidad sus tácticas para evitar la detección y la atribución”.

En la última secuencia de ataques observada por Fortinet, se utiliza un documento Word con macros. Cuando se habilita, muestra un artículo en ruso que aparentemente trata sobre “Evaluaciones occidentales del progreso de la operación militar especial”. Luego, la macro de Visual Basic para aplicaciones (VBA) inicia un script por lotes provisional que realiza verificaciones del sistema, elude el control de cuentas de usuario (UAC) y prepara la implementación de un archivo DLL con capacidades de recopilación y exfiltración de información.

“La carga útil incorpora una derivación de UAC y establece una comunicación cifrada con un servidor C2, permitiendo al actor de amenazas ejecutar comandos privilegiados”, explicó Lin de Fortinet.

Konni no es el único actor de amenazas norcoreano que señala a Rusia. La evidencia recopilada por Kaspersky, Microsoft y SentinelOne muestra que el grupo adversario ScarCruft (también conocido como APT37) también ha dirigido sus ataques hacia empresas comerciales y de ingeniería de misiles ubicadas en el país.

Esta revelación llega menos de dos semanas después de que Solar, la división de ciberseguridad de la empresa de telecomunicaciones estatal rusa Rostelecom, informara que los actores de amenazas de Asia, principalmente de China y Corea del Norte, fueron responsables de la mayoría de los ataques contra la infraestructura del país.

La empresa también señala que el grupo norcoreano Lazarus está altamente activo en el territorio de la Federación Rusa. Según la empresa, “A principios de noviembre, los hackers de Lazarus aún mantenían acceso a varios sistemas rusos”.

¿Y cómo nos afecta?

La actividad de grupos de amenazas cibernéticas, como Lazarus y ScarCruft, puede tener consecuencias a nivel global, incluyendo en América Latina. Aquí en este post encontrarás algunas formas en las que podrían afectar y medidas preventivas que podrían ser útiles:

Posibles formas de afectación:

  • Amenazas a la Seguridad Nacional:
  • Si los grupos de amenazas tienen éxito en comprometer sistemas críticos, podría afectar la seguridad nacional de los países latinoamericanos.
    Impacto Económico:
  • Los ataques a empresas comerciales podrían tener un impacto económico significativo, afectando la estabilidad financiera y la confianza en los mercados.
    Fuga de Datos:
  • Los ataques a empresas pueden resultar en la pérdida o filtración de datos sensibles, lo que podría afectar a individuos y organizaciones.

Medidas Preventivas:

  • Mantenimiento de Software y Parches: Mantener actualizados los sistemas operativos y software con los últimos parches de seguridad es crucial para cerrar posibles brechas de seguridad.
  • Concienciación y Formación: Educar a los usuarios sobre prácticas seguras en línea y realizar capacitaciones en seguridad cibernética puede reducir el riesgo de caer en trampas cibernéticas.
  • Uso de Herramientas de Seguridad: Implementar soluciones antivirus, firewalls y otras herramientas de seguridad puede ayudar a detectar y prevenir posibles amenazas.
  • Monitoreo Continuo: Establecer sistemas de monitoreo continuo para identificar actividades inusuales o posibles intrusiones en tiempo real.
  • Colaboración y Compartir Información: Fomentar la colaboración entre entidades gubernamentales, empresas y organismos de seguridad cibernética para compartir información sobre amenazas y mejores prácticas.
  • Respuesta a Incidentes: Desarrollar planes de respuesta a incidentes para abordar rápidamente cualquier amenaza y minimizar los daños en caso de un ataque exitoso.

Es importante tener en cuenta que la ciberseguridad es un esfuerzo conjunto que involucra a gobiernos, empresas y ciudadanos. La prevención y respuesta efectivas requieren una combinación de medidas técnicas, educación y colaboración.

fuente: thehackernews