Фахівці з кібербезпеки викрили криптовалютних хакерів, які небезпечніші за найвідоміших кіберзлочинців світу

Дослідники у сфері кібербезпеки розкрили раніше невідомі деталі щодо хакерських атак на південнокорейські об'єкти. Йдеться про угрупування APT37 і Konni, які, ймовірно пов’язані із Північною Кореєю.

Угруповання північнокорейського походження вже давно обрали криптовалютний сектор як одну зі своїх основних цілей для атак. Однак досі основна загроза була з боку хакерів Lazarus Group. Звіт аналітиків вказує на те, що тепер у гру вступила Konni, яка останнім часом почала застосовувати нові техніки експлойтів і скеровувати їх на криптокомпанії по всьому світі.

У рамках нової кампанії зловмисники експлуатують раніше не використану вразливість в архіваторі WinRAR — CVE-2023−38 831. Коли жертва намагається відкрити заархівований HTML-файл, шкідливий код активується, даючи змогу атакувальникам отримати віддалений доступ до системи.

Не менш цікавим є складний механізм обходу протоколів безпеки. Після активації шкідливе ПЗ визначає, на якій операційній системі працює пристрій — 64-бітній або 32-бітній. Далі код зв’язується із сервером і завантажує додаткові інструкції, закодовані у форматі Base64. Ці інструкції перетворюються у виконуваний файл і запускаються.

Потім програма перевіряє, чи є на комп’ютері віддалена сесія, і яку версію операційної системи встановлено. Залежно від отриманих даних код вибирає один із методів обходу UAC (User Account Control), щоб встановити для себе розширені привілеї.

Хакери Konni використовують техніку динамічного завантаження додаткових модулів. Це дає їм змогу швидко адаптуватися і модернізувати код. На завершення процесу атаки в системі створюється прихований сервіс під назвою «Remote Database Service Update», що ускладнює виявлення вірусу і подальший аналіз інциденту.