Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

¿Cómo el Grupo Konni Utiliza el Idioma Ruso en Ciberataques?

Escrito por Levi Yoris | Dec 7, 2023 4:00:00 PM

El grupo Konni es una organización de ciberespionaje que se ha atribuido varios ataques dirigidos a Rusia, utilizando documentos de Microsoft Word en ruso para distribuir malware capaz de robar información sensible de los dispositivos Windows comprometidos. En este artículo, te explicaremos qué es el grupo Konni, cómo funciona su malware y cómo puedes protegerte de sus ataques.

 

¿Qué es el grupo Konni?

 

El grupo Konni es un actor de amenazas que se cree que tiene vínculos con Corea del Norte, y que comparte similitudes con otro grupo conocido como Kimsuky (o APT37). El grupo Konni se ha centrado principalmente en objetivos relacionados con Rusia, como organizaciones gubernamentales, militares, diplomáticas y de medios de comunicación.

El grupo Konni lleva operando desde al menos 2014, y ha utilizado diferentes tipos de malware para infiltrarse en los sistemas de sus víctimas, como el troyano de acceso remoto (RAT) Konni, el backdoor NOKKI y el malware de robo de información CARROTBAT.

El grupo Konni suele emplear técnicas de phishing por correo electrónico para engañar a sus víctimas y hacerles abrir documentos maliciosos que contienen macros de Visual Basic for Applications (VBA) que ejecutan el malware. Estos documentos suelen estar escritos en ruso y tratan temas de interés para los objetivos del grupo, como asuntos políticos, militares o de seguridad.

 

¿Cómo funciona el malware del grupo Konni?

 

Cara Lin, una investigadora de Fortinet FortiGuard Labs, señaló que esta campaña se basa en un troyano de acceso remoto (RAT) que puede extraer información y ejecutar comandos en dispositivos comprometidos. Este grupo de ciberespionaje suele dirigirse a Rusia y utiliza correos electrónicos de phishing y documentos maliciosos como puntos de entrada para sus ataques.

En ataques recientes documentados por Knowsec y ThreatMon, se aprovechó una vulnerabilidad en WinRAR (CVE-2023-38831), así como scripts de Visual Basic ofuscados para eliminar el RAT de Konni y un script de Windows Batch que recopila datos de las máquinas infectadas.

ThreatMon afirmó que los objetivos principales de Konni incluyen la filtración de datos y actividades de espionaje, y que utilizan una variedad de malware y herramientas, adaptando constantemente sus tácticas para evitar la detección y la atribución.

El último ataque observado por Fortinet involucra un documento de Word con macros que, cuando se habilitan, muestran un artículo en ruso que aparentemente trata sobre "Evaluaciones occidentales del progreso de la operación militar especial". Luego, la macro de Visual Basic para aplicaciones (VBA) inicia un script por lotes provisional que realiza comprobaciones del sistema, omite el control de cuentas de usuario (UAC) y prepara el terreno para la implementación de un archivo DLL con capacidades de recopilación y extracción de información.

Según Lin, la carga útil del malware incluye una forma de eludir el UAC y establece comunicación cifrada con un servidor C2, lo que permite al grupo de amenazas ejecutar comandos con privilegios.

 

Te podrá interesar leer:  Desentrañando el Mundo de la Ciberseguridad C2

 

Konni no es el único grupo norcoreano que ha dirigido su atención a Rusia. También se ha documentado que el grupo ScarCruft (también conocido como APT37) ha atacado empresas comerciales y de ingeniería de misiles en el país, según evidencia recopilada por Kaspersky, Microsoft y SentinelOne.

Esta revelación se produce poco después de que Solar, la división de ciberseguridad de la empresa de telecomunicaciones estatal rusa Rostelecom, informara que la mayoría de los ataques contra la infraestructura del país provienen de actores de amenazas de Asia, principalmente de China y Corea del Norte. Además, se menciona que el grupo norcoreano Lazarus también está activo en territorio ruso y que en noviembre aún tenía acceso a varios sistemas en el país.

 

¿Cómo puedes protegerte de los ataques del grupo Konni?

 

Para protegerte de los ataques del grupo Konni, debes seguir una serie de buenas prácticas de seguridad, como:

 

  1. Mantener actualizado tu sistema operativo y tus aplicaciones, especialmente Microsoft Office.

  2. Instalar y activar un antivirus y un firewall de confianza.

  3. Desactivar la ejecución de macros en los documentos de Office, o configurarla para que solo se permitan las firmadas digitalmente.

  4. No abrir ni descargar archivos adjuntos o enlaces sospechosos que recibas por correo electrónico, especialmente si están escritos en ruso o tratan temas sensibles.

  5. Verificar la identidad y la reputación del remitente del correo electrónico, y comprobar si hay errores ortográficos o gramaticales.

  6. Realizar copias de seguridad periódicas de tus datos importantes.

  7. Educar y concienciar a tus trabajadores o usuarios sobre los riesgos del phishing y el malware.

 

Te podrá interesar leer:  Concientización: Esencial en la Ciberseguridad de tu Empresa

 

El grupo Konni es una amenaza persistente y sofisticada que ataca a objetivos relacionados con Rusia, utilizando documentos de Word en ruso para distribuir malware que roba información y ejecuta comandos en los dispositivos comprometidos. Para protegerte de sus ataques, debes seguir las mejores prácticas de seguridad y estar alerta ante cualquier indicio de actividad maliciosa.