Die Angreifer nutzen die bekannte Malware Konni, einen Remote Access Trojaner (RAT), der dazu in der Lage ist, sich langfristig in den angegriffenen Systemen einzunisten und sich dort immer weitreichendere Rechte zu verschaffen. Konni wird schon seit 2014 mit nordkoreanischen Hackern in Verbindung gebracht und wurde erst kürzlich bei einer Spear-Phishing-Kampagne gegen das russische Außenministerium beobachtet.
Die aktuelle Kampagne, von den Entdeckern STIFF#BIZON getauft, verläuft in mehreren Stufen. Zuerst erhalten die Opfer eine E-Mail mit einem angehängten Archiv, das sowohl ein Word-Dokument (missile.docx) als auch eine Windows-Shortcut-Datei (_weapons.doc.lnk.lnk) enthält. Öffnet man die LNK-Datei, wird ein Code ausgeführt, um ein base64-codiertes PowerShell-Skript in der DOCX-Datei zu finden. Dann wird Kontakt zu einem Command-and-Control Server aufgebaut und zwei weitere Dateien namens 'weapons.doc' und 'wp.vbs' werden heruntergeladen. Bei dem heruntergeladenen Dokument handelt es sich um den vermeintlichen Bericht einer russischen Kriegsberichterstatterin namens Olga Bozheva, in Wahrheit nur ein Köder, der das Opfer dazu bringen soll, die Malware auszuführen. Gleichzeitig läuft im Hintergrund heimlich die VBS-Datei, um einen geplanten Task im System des Opfers zu erstellen.
Ist diese Stufe des Angriffs erreicht, hat Konni sich bereits weitreichende Berechtigungen verschafft. So kann der RAT Screenshots aufnehmen und diese als GZIP exfiltrieren, State Keys aus der Local-State-Datei und gespeicherte Anmeldeinformationen aus den Webbrowsern des Opfers extrahieren sowie eine Remote Interactive Shell starten, die alle zehn Sekunden einen Befehl ausführen kann.
In der vierten und letzten Stufe des Angriffs können die Angreifer weitere Dateien als komprimierte .cab-Archive herunterladen, die die Funktionen von Konni unterstützen. Darunter sind DLLs, die dann legitime Windows-Service-Bibliotheken überschreiben, wie „wpcsvc“ in System32, das zum Ausführen von Befehlen im Betriebssystem mit höheren Benutzerrechten genutzt wird.
Darüber hinaus weisen die Sicherheitsforscher in ihrem Bericht darauf hin, dass zwar viele Faktoren auf APT37 als Hintermänner der Angriffe deuten, es jedoch auch Hinweise auf APT28, auch bekannt als FancyBear, als Urheber gibt. Dazu zählen beispielsweise IP-Adresse, Hosting Provider und Hostnamen, die zuvor in Angriffswellen von FancyBear aufgetaucht sind. Das allerdings bedeutet noch nicht, dass FancyBear tatsächlich an den aktuellen Attacken beteiligt ist. Unter Hackergruppen ist es mittlerweile eine weit verbreitete Praxis, falsche Hinweise in Kampagnen zu verstecken, die auf andere Angreifer schließen lassen. So sollen Sicherheitsforscher und Strafverfolger auf eine falsche Fährte gelockt werden.
Um sich vor derartigen Angriffen zu schützen, ist es wichtig, eine Awareness für Phishing und die damit verbundenen Gefahren zu schaffen. Links und Dokumente aus unbekannten Quellen sollten unter keinen Umständen sorglos geöffnet werden. In Kombination mit einer aktuellen Sicherheitssoftware sollten so bereits viele Gefahren im Vorfeld eliminiert werden.