Avertizare DNSC: Campanie phishing de la gruparea nord-co...

Publicat: 19.03.2025 14:33 · Actualizat: 19 March 2025, 14:33 · Timp de citire: 2 minute

Pe scurt

DNSC avertizează asupra unei campanii de phishing desfășurată de gruparea nord-coreeană Konni, care folosește fișiere malițioase de tip LNK pentru a compromite utilizatorii. Atacatorii descarcă malware prin platforme de încredere, cum ar fi Dropbox și GoogleDrive. Specialiștii recomandă utilizatorilor să fie precauți și să adopte măsuri de securitate pentru a se proteja.

Brief

The National Cyber Security Directorate warns of an ongoing phishing campaign by the North Korean group Konni, using malicious LNK files to compromise users. Attackers download malware through trusted platforms like Dropbox and GoogleDrive. Experts recommend users exercise caution and adopt security measures to protect themselves.

Avertizare DNSC: Campanie phishing de la gruparea nord-co... — Sursa foto: ziare.com

Informații esențiale despre atacurile cibernetice

Directoratul Național de Securitate Cibernetică (DNSC) a emis o avertizare cu privire la o campanie de phishing activă, asociată grupării nord-coreene Konni. Această grupare, cunoscută și sub denumirea APT37 sau Kimsuki, recurge la metode sofisticate pentru a infecta utilizatorii.

Atacatorii trimite fișiere malițioase de tip LNK prin e-mail-uri, având scopul de a compromite sistemele utilizatorilor vizați. Odată ce aceste fișiere sunt deschise, malware-ul este descărcat prin intermediul unor platforme de încredere, precum Dropbox și GoogleDrive, ceea ce îngreunează detectarea atacului. Pe 10 martie 2025, DNSC a confirmat identificarea acestei activități malefice, subliniind că informațiile au fost obținute prin monitorizarea surselor deschise din mediul cibernetic.

„Campania este foarte probabil atribuită grupării Konni, care este adesea asociată cu actorii statali nord-coreeni”, a declarat DNSC. Specialiștii explică faptul că atacatorii își propun infectarea inițială a victimelor prin atașarea de fișiere malițioase, care, odată accesate, execută un script PowerShell ascuns. Acest script duce la descărcarea unui document fals menit să distragă atenția, în timp ce malware-ul AsyncRAT este instalat pe sistemul victimei.

AsyncRAT este un troian de acces la distanță, permițând atacatorilor să controleze sistemele infectate și să colecteze date sensibile. DNSC a observat că informațiile necesare pentru controlul malware-ului nu mai sunt codificate în mod direct, ci sunt transmise ca parametrii, complicând astfel detectarea acestuia.

Gruparea Konni, activă din 2014, a fost implicată în atacuri cibernetice asupra sistemelor din Coreea de Sud și Rusia și a fost asociată cu grupul Kimsuky, care se ocupă cu spionajul cibernetic. Metodele lor de operare prezintă similarități cu cele utilizate de alte grupări susținute de stat, cum ar fi APT37 și Lazarus Group.

Pentru a se proteja împotriva acestor atacuri, DNSC recomandă utilizatorilor să fie vigilenți, să folosească parole complexe, să activeze autentificarea cu doi factori și să efectueze backup-uri regulate ale datelor.

De asemenea, este esențial să verifice tipul fișierelor înainte de a le deschide și să evite atașamentele din surse necunoscute.

Cuvinte cheie

DNSC
phishing
Konni
cybersecurity
malware