Хакери з КНДР використовують інтерес до Залужного для фішингових атак на українських користувачів

Пов’язана з урядом Північної Кореї хакерська група, відома як Konni APT, TA406 чи Opal Sleet, проводить фішингову кампанію, направлену на урядові установи Україні. Тема листа-приманки пов’язана з колишнім Головнокомандувачем ЗСУ Валерієм Залужним, повідомляє The Hacker News.

Фішингова кампанія розпочалась в лютому 2025 року. Хакери надсилають фішингові листи з посиланням на захищений паролем RAR-архів, розміщений у хмарному сервісі MEGA. В архіві міститься кілька файлів: безпечний PDF-документ з частиною тексту, а також LNK-файл на повну статтю «Чому Зеленський звільнив Залужного.lnk». Якщо запустити LNK-файл, він виконує PowerShell у кодуванні Base64.

PowerShell використовує VBScript для запуску файлу з кодуванням JavaScript під назвою Themes.jse, який потім запускається запланованим завданням. JSE-файл, у свою чергу, зв’язується з URL-адресою, яку контролює зловмисник, і запускає відповідь із сервера через PowerShell. Точна природа корисного навантаження наразі невідома.

Відправник фішингових електронних листів видає себе за вигаданого старшого співробітника аналітичного центру під назвою Королівський інститут стратегічних досліджень, який також є неіснуючою організацією.

Експерти Proofpoint вважають, що фішингова операція TA406 спрямована на українські урядові установи, щоб краще зрозуміти їхнє бажання продовжувати боротьбу проти російського вторгнення та оцінити середньострокові перспективи війни. Хакери TA406, ймовірно, збирають розвідувальні дані, щоб допомогти північнокорейському керівництву визначити поточний ризик для своїх сил, які вже воюють на боці росіян, а також ймовірність того, що Росія запросить більше військ або озброєнь.

На відміну від російських хакерів, яким доручено збирати тактичну інформацію про поле бою та встановлювати цілі на українські сили, TA406 зазвичай зосереджується на більш стратегічних зусиллях зі збору політичної розвідки.