Північнокорейська хакерська група Konni запустила нову фішингову кампанію, в якій використовує месенджер KakaoTalk для поширення шкідливого ПЗ. Після зараження пристрою жертви зловмисники перетворюють її акаунт на інструмент для атак на інших користувачів.
Атака починається зі спеціально підготовленого spear-phishing листа, який маскується під офіційне повідомлення про призначення на роль лектора з прав людини в Північній Кореї. Усередині знаходиться ZIP-архів із файлом формату LNK.
Після відкриття цього файлу запускається ланцюг зараження: шкідливий ярлик завантажує наступний payload із віддаленого сервера, закріплюється в системі через планувальник задач і запускає RAT.
Для відволікання жертви одночасно відкривається PDF-документ-приманка, щоб створити ілюзію легітимності. Використаний троян написаний на AutoIt і відомий як EndRAT (EndClient RAT). Він дає атакуючому повний контроль над системою, включаючи:
управління файлами
віддалений доступ до командного рядка
передачу даних
довготривалу персистентність
Після компрометації пристрою зловмисники не обмежуються однією жертвою. Вони використовують доступ до KakaoTalk, щоб надсилати шкідливі файли контактам жертви. Таким чином формується ланцюгова атака, де довіра до знайомого контакту значно підвищує ймовірність зараження.
Дослідники також виявили, що на заражених системах можуть додатково встановлюватися інші RAT-сімейства, зокрема:
RftRAT
RemcosRAT
Це говорить про те, що атакуючі цінують доступ до конкретних жертв і посилюють контроль над ними. “This campaign is assessed as a multi-stage attack operation that extends beyond simple spear-phishing, combining long-term persistence, information theft, and account-based redistribution,” — Genians.
Також відомо, що подібну тактику Konni використовувала раніше, включаючи розсилку ZIP-файлів через KakaoTalk і навіть віддалене очищення Android-пристроїв через викрадені облікові дані Google. Ця кампанія показує еволюцію атак: замість прямого зараження великої кількості жертв, хакери використовують вже скомпрометовані акаунти як точку входу для нових атак.
