USAs regeringsorganer har afsløret en ny virus, der stammer fra Nordkorea kaldet BLINDINGCAN malware, der er kategoriseret som en bagdør Trojan. De amerikanske myndigheder har opdaget det i en internetkampagne, der blev fanget af agenturet Cybersecurity and Infrastructure Security (CISA) og FBI.
Nordkorea-hackere har brugt en ny trojan kaldet BLINDINGCAN Malware
BLINDINGCAN malware er et farligt våben skabt af erfarne nordkoreanske hackere, dette ifølge en officiel offentliggørelse offentliggjort af amerikanske myndigheder. Den amerikanske CERT-organisation afslører, at opdagelsen blev foretaget af FBI's agenter og Cybersecurity and Infrastructure Security Agency (CISA) der sporer vira rundt om i verden.
Offentliggørelsen af pubic blev afsløret for at være en del af den regerings sponsorerede gruppe, som vi er kendt som Skjult Cobra. De er et højt profileret og erfarent kollektiv, som normalt udtænker nogle af de mest komplekse computervirus. FBI mener, at de bruger denne nye malware-stamme i koordinerede angreb mod netværk, og dette gøres af et stort netværk af proxyservere, der hjælper med at skjule indbrudsforsøgene.
Virussen blev påvist under et af dets igangværende indtrængende forsøg, de amerikanske myndigheder opdagede, at nordkoreanerne har målrettet entreprenører for at gøre det indsamle intelligens om centrale militære og energiteknologier.
For at gøre dette har kriminelle udtænkt a phishing-strategi som er afhængig af brugen af falske stillinger, der fremstiller dem, der er sendt af forsvarsentreprenører. Inde i dem er der et skjult virusimplantat, der automatisk starter ved interaktion. Desuden bruger hackerne et stort verdensomspændende netværk af proxier, hvilket gør sporing meget vanskeligere.
De malware-filer, der er knyttet til dette angreb, er Microsoft Word .DOCX dokument og to respektive DLL-biblioteker. De inkluderer makroer, der automatisk starter den respektive installationsprocedure. Den BLINDINGCAN malware når det installeres på et givet system starter a fjernkommando og kontrolcenter. Dette vil give koreanerne mulighed for at overtage kontrollen med systemerne og kapre brugerens data. Trojan-filen i sig selv gemmer sig i systemmapperne, hvilket gør det meget vanskeligt at spore den op. Under analysen blev det konstateret, at der begge findes en 32 og 64-bit version udviklet for at målrette mod så mange systemer som muligt. Andre muligheder i BLINDINGCAN Trojan inkluderer følgende:
- hentning af data — Malware kan få adgang til systembrugeroplysninger og interagere med Disks Manager, en af kernekomponenterne i Microsoft Windows-operativsystemet. Ved hjælp af dette kan virussen spørge efter de installerede hardwarekomponenter og kontrollere ledig plads på computeren.
- Proces kontrol — Hovedvirusmotoren kan bruges til at tilslutte til eksisterende processer eller oprette nye for sig selv. Dette betyder, at malware kan reservere sin egen hukommelse og skabe adskillige tråde og derved føre til endnu mere komplekse systemmanipulationhandlinger.
- Installation af filer — Ved hjælp af denne malware kan hackerne uploade vilkårlige filer til de inficerede værter og udføre dem. Som et resultat kan yderligere infektioner startes.
- Stealth installation — Den vigtigste Trojan-motor kan overvåge de installerede tjenester og beskytte sig selv mod detektion. Det stopper med at køre og kan endda slette sig selv, hvis en dybdegående sikkerhedsscanning startes.
Mere information om denne malware findes i den offentlige rådgivning, der kaldes MAR-10295134-1.v1. Som altid forventer vi, at sådanne avancerede hackingangreb fortsætter.