En fælles rådgivning frigivet af USA-agenturer afslører tre nye nordkoreanske malware kaldet COPPERHEDGE, TAINTEDSCRIBE, og PEBBLEDASH.
Rapporterne offentliggøres online på det amerikanske CERT-sted og inkluderer ikke kun en beskrivelse, men også en malware-analyse af indsamlede prøver. Ifølge myndighederne er disse viraer blevet brugt af Nordkoreas regering.
Nordkoreansk Malware Hit igen: Opdagelsen af tre nye vira
Oplysninger om tre nye nordkoreanske malware er offentliggjort af myndigheder i USA i en fælles rapport på det amerikanske CERT-sted. De data, der offentliggøres i analysen, afsløres af nøglebureauer, herunder afdelingen for sikkerhed i hjemlandet, forsvarsministeriet og FBI. De har opdaget og overvåget angrebskampagnerne for at udarbejde poster om malware-opførsel og derefter fremstille de viste analyser.
Specifikationerne om malware, der formodes at stamme fra Nordkorea, er, at de lanceres i koordinerede angreb i stor skala. De fleste af dem inkluderer avancerede moduler, der forårsager meget skade på de forurenede netværk. Nordkoreanske vira indstilles normalt mod udenlandske myndigheder og store virksomheder, størstedelen af dem er ikke beregnet til at inficere enkle computere slutbrugere. På grund af det faktum, at den nordkoreanske malware er tre og frigivet i en målrettet kampagne, som sikkerhedsforskere har benævnt det som Skjult COBRA.
1. COPPERHEDGE: Et værktøj til fjernadgang til malware
De amerikanske myndigheder afslører, at den første virus i HIDDEN COBRA-kampagnen kaldet COPPERHEDGE distribueres i flere varianter og bruges sammen med proxyservere. Hovedmålet er at opretholde en malware-tilstedeværelse i offernetværk og udføre yderligere netværksudnyttelse. På dette tidspunkt inkluderer de domæner, som det opererer gennem, i alt 42. Den første variant er en 32-bit DLL-fil, der bruger RC4-chifferet til at tilsløre strenge, der leveres til systemet. Dette inkluderer HTTP-strenge, der bruges til at kommunikere med de eksterne hacker-kontrollerede servere. Sammen med dette kan en karaktermanipulation af strengene netværksadministratorerne have det vanskeligere at skelne mellem en aktiv infektion.
Den inkluderede bagdørsfunktion findes også i andre varianter — forskellene er i de filer, der bruges som nyttelast. Analysen af de trusler, der er forbundet med COPPERHEDGE RAT, har gjort det muligt for de amerikanske myndigheder at angive de ondsindede muligheder:
- Hent systemoplysninger — Denne handling samler systemoplysninger om de høstede computere.
- Drev indsamling af information — Dette viser de tilsluttede harddiske og sender disse oplysninger til hackere.
- Indstil konfigurationsindstillinger — Denne malware-handling dirigerer computere til at ændre konfigurationsfiler og indstillinger.
- Hent konfigurationsindstillinger — Dette vil hente de givne konfigurationsfiler.
- Holde i live — Dette vil kommandoen COPPERHEDGE bagdør til at holde forbindelsen i live ved at sende konstante netværkssignaler.
- Put fil — Dette vil uploade en fil til de forurenede computere.
- Opret Proces — Dette vil kasse en proces, hvortil malware-processen indlæses.
- Kør kommandolinje — Dette kører en bestemt kommando på kommandolinjen.
- ZIP Hent fil — Dette henter filer i en ZIP-arkivform.
- Procesliste — Dette viser de aktive processer på den givne computer.
- Process Kill — Dette vil dræbe en kørende proces.
- Dvale — Dette vil få systemet til at dvale.
- Koble fra — Dette vil afbryde forbindelsen.
- Test Connect — Dette tester netværksforbindelsen.
Et tydeligt træk ved en af de andre varianter af COPPERHEDGE malware er, at den udgør en Google Analytics-cookie — dette gøres ved at kopiere det standardformat, som Google bruger, og ændre det i overensstemmelse hermed. En anden version vil også hente andre systemdata inklusive harddiskens ledig plads og tidsstempler af data.
TAINTEDSCRIBE Trojan: Et avanceret malware-våben
Dette er den vigtigste malware, der er en del af HIDDEN COBRA-kampagnen. USA rapporterer, at det inkluderer det avancerede vedvarende installationsmodul. Dette vil placere virusfilen i mappen Startup ved hjælp af Narrator.exe navn. Et enkelt eksempel kan have i alt 5 IP-adresser og forsøg en forbindelse til den. Hvis en forbindelse mislykkes, vil hovedmotoren vente på 60 sekunder før du forsøger at oprette forbindelse til den næste adresse på linjen.
Når der oprettes en forbindelse, følger en autentificeringsproces, og når den er afsluttet, henter Trojan et andet modul, der er ansvarlig for udførelsen af kommandoer. TAINTEDSCRIBE malware vil starte Trojan-forbindelsen ved hjælp af en FAKE TLS-certifikat — dette vil simulere en betroet forbindelse, der ikke skaber opmærksomhed fra netværksadministratorerne.
Modulet udfører et håndtryk med de hackerstyrede servere og derefter sende systeminformation som er samlet af malware. Dette inkluderer servicenavne, aktuelle operativsystemkonfigurationsmuligheder osv. Det har også en omfattende filer og processmanipulation evne, der ligner COPPERHEDGE RAT. Dette inkluderer muligheden for at uploade filer til værterne, stjæle brugerdata og også ændre eksisterende filer. Kommandoer udførelse, såvel som start og stop af processer er også indlejret.
PEBBLEDASH Trojan: En sekundær nordkoreansk trojan
Denne Trojan er ikke så meget anderledes end TAINTEDSCRIBE i sin funktionalitet. Det inkluderer stort set de samme muligheder. Malware-analysen viser, at den importerer sig selv i DLL-filer, der bruges af applikationer og API'er. Brug af tilsløret strenge Trojan vil være i stand til skjul dets netværksaktivitet. Et Python-programmeret modul bruges til dekryptering af hovedkoden. Endnu en gang a falsk TLS-certifikat implementeres, som vil omgå sikkerhedsnetværksscanninger. Som et resultat vises forbindelserne som kendte tjenester og virksomheder.
Nordkoreansk Malware On The Rise: Endnu en farlig kampagne
HIDDEN COBRA-angrebet viser, at nordkoreanske hackinggrupper fortsætter med at lancere velorganiserede kampagner. Hvad der er mere foruroligende ved disse angreb er, at de bruger brugerdefineret malware der specifikt bruges til kampagnerne. På den anden side undersøges målene omhyggeligt for at øge chancerne for infektion.
Det er muligt, at kommende infektioner vil blive lanceret. Hver gang kan nordkoreanerne bruge nye strategier og taktikker for at trænge ind på netværkene. Der er mange grunde til, at disse infektioner udføres, Trojanere som denne oprettes primært af følgende grunde:
- Sabotage - Da trojanerne tillader hackere at overtage kontrollen over de inficerede enheder, kan hackerne slette følsomme data og bevidst starte eksterne kommandoer for at fungere korrekt.
- datatyveri & Spionage - Hackerne kan også stjæle følsomme bruger- og systemoplysninger. Trojanerne er konfigureret med muligheden for at undersøge systemerne til de tilsluttede harddiske, dette kan også udvides til tilgængelige netværksandele, der også giver mulighed for, at data på det interne netværk bliver tilgængelige. Spionering til offerbrugerne inkluderer ikke kun høst af deres data, men også overvågning af udklipsholder og mus og nøglebevægelse og interaktion.
- Afpresning - De foretagne infektioner kan bruges til at afpresse ofrene, dette er især farligt, når store virksomheder er involveret.
Alle disse handlinger viser, at sikkerhedsadministratorer skal tage de nødvendige forholdsregler for at beskytte deres netværk efter bedste evne. Yderligere information findes på den officielle rådgivende side.