Северокорейские киберпреступники, предположительно связанные с правительством КНДР, успешно взломали учетную запись одного из сотрудников МИД России, при этом реализовав целевые фишинговые атаки против российских дипломатов, сообщает издание Bleeping Computer.
Одной из основных целей северокорейских хакеров стал Сергей Рябко, замглавы МИД России, в сферу ответственности которого входит выстраивание отношений Российской Федерации с США.
Компания по кибербезопасности Cluster25 заявила, что фишинговая атака в отношении российских дипломатов была начата ещё 19 октября 2021 года, когда хакеры смогли развернуть вредоносное ПО Konni (инструмент удаленного администрирования), которое эксперты по информационной безопасности давно связывают с деятельностью северокорейских прогосударственных киберпреступников из APT-группы APT 37 (также известной под названиями StarCruft, Group123 и другими).
В начале 2022 года компания Cluster25 представила результаты исследования фишинговой операции, выявленной в конце 2021 года, во время которой хакеры выполняли доставку вредоносного ПО Konni сотрудниками Министерство иностранных дел РФ.
Специалисты Cluster25 выяснили, что киберпреступники в качестве приманки пользовались новогодней темой в своих фишинговых письмах, рассылая сотрудникам МИД РФ поздравления.
В фишинговом письме говорилось, что поздравление находится в прикрепленном файле. Специалисты Cluster25 обнаружили, что при извлечении из архива появлялся исполняемый файл, при запуске доставляющий вредоносное ПО Konni. Он был замаскирован по службу Windows scrnsvc.dll.
Специалисты по безопасности из команды Black Lotus Labs компании Lumen также следили за этими фишинговыми операциями, которые начались в сентябре 2021 года. Одной из наиболее вероятных целей этих операций было получение учетных данных сотрудников МИД России.
Получателями вредоносных email-писем стали сотрудники российского посольства в Индонезии и замминистра Сергей Рябков.
Эксперты из Black Lotus Labs заявили, что выявленная фишинговая кампания являлась «крайне целенаправленной».
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.