Криптовалютная индустрия сталкивается с новой угрозой: северокорейская группировка Konni использует уязвимость WinRAR

Впервые северокорейская APT-группа Konni использует недавно обнаруженную уязвимость WinRAR для атаки на сектор криптовалют.
Новый рубеж кибератак
Северокорейская группа Advanced Persistent Threat (APT), известная как Konni, попала в заголовки, эксплуатируя недавно раскрытую уязвимость WinRAR (CVE-2023-38831) для атаки на криптовалютную индустрию. Это первый случай, когда группа APT использует эту конкретную уязвимость для атаки.
Группа использовала вредоносную нагрузку, замаскированную под скриншот кошелька, связанного с Qbao Network, интеллектуальным сервисом криптовалютного кошелька. Когда жертва нажимала на HTML-файл в сжатом архиве, выполнялась вредоносная нагрузка, эксплуатирующая уязвимость WinRAR.
Технические идеи и выводы
Атака была тщательно спланирована, с использованием ошибки в программном обеспечении WinRAR для выполнения вредоносной нагрузки. Полезная нагрузка была разработана для определения типа операционной системы на компьютере жертвы и загрузки дополнительных полезных нагрузок соответственно. Затем вредоносная программа выполняла различные задачи, такие как запуск команд системной информации и списков задач, которые шифровались и отправлялись обратно на сервер, контролируемый злоумышленниками. Такой уровень сложности указывает на хорошо скоординированные усилия и вызывает опасения по поводу уязвимости криптовалютных платформ к продвинутым киберугрозам.
Расширение киберохвата Северной Кореи
Хотя северокорейские кибер-активности, направленные против криптовалютной индустрии, обычно приписывались Lazarus Group, эта атака указывает на более широкий круг субъектов внутри страны, сосредоточенных на этом прибыльном секторе. Атака последовала за другими инцидентами, связанными с криптовалютными платформами, такими как Stake и CoinEx, что предполагает согласованные усилия северокорейских хакеров по атаке на криптовалютные биржи. Использование недавно раскрытой уязвимости также указывает на то, что эти группы следят за последними разработками в области кибербезопасности, готовые использовать любые уязвимости, которые они найдут.
Атака служит тревожным сигналом для криптовалютной индустрии, которая все чаще подвергается сложным киберугрозам. Эксплуатация недавно обнаруженной уязвимости подчеркивает необходимость постоянной бдительности и своевременного исправления уязвимостей программного обеспечения. Поскольку Северная Корея расширяет свои кибероперации, чтобы включить больше групп, нацеленных на сектор криптовалют, индустрия должна усилить свою защиту от растущего спектра угроз.
Публикация «Индустрия криптовалют столкнулась с новой угрозой: северокорейская группировка Konni эксплуатирует уязвимость WinRAR» впервые появилась на Coinfea.