CYBER NEWS

Nordkoreanische Malware schlägt erneut zu: 3 Neue erweiterte Tools entdeckt


Eine gemeinsame Empfehlung der US-amerikanischen Behörden enthüllt drei neue nordkoreanische Malware namens COPPERHEDGE, TAINTEDSCRIBE, und PEBBLEDASH.

Die Berichte werden online auf der US CERT-Website veröffentlicht und enthalten nicht nur eine Beschreibung, sondern auch eine Malware-Analyse der gesammelten Proben. Nach Angaben der Behörden wurden diese Viren von der nordkoreanischen Regierung eingesetzt.

Nordkoreanische Malware erneut getroffen: Die Entdeckung von drei neuen Viren

Informationen über drei neue nordkoreanische Malware wurden von den US-Behörden in einem gemeinsamen Bericht auf der amerikanischen CERT-Website veröffentlicht. Die in der Analyse veröffentlichten Daten werden von wichtigen Behörden, einschließlich des Ministeriums für innere Sicherheit, offengelegt, das Verteidigungsministerium und das FBI. Sie haben die Angriffskampagnen entdeckt und überwacht, um Aufzeichnungen über das Malware-Verhalten zu erstellen und anschließend die angezeigten Analysen zu erstellen.




Die Besonderheiten von Malware, die aus Nordkorea stammen sollen, bestehen darin, dass sie in großen koordinierten Angriffen gestartet werden. Die meisten von ihnen enthalten fortschrittliche Module, die die kontaminierten Netzwerke stark beschädigen. Nordkoreanische Viren werden normalerweise gegen ausländische Regierungsbehörden und große Unternehmen eingesetzt, Die meisten von ihnen sind nicht dazu gedacht, einfache Computerendbenutzer zu infizieren. Aufgrund der Tatsache, dass es sich bei der nordkoreanischen Malware um drei handelt, wurde sie in einer gezielten Kampagne veröffentlicht, die von Sicherheitsforschern als solche bezeichnet wurde HIDDEN COBRA.

1. KUPFERHEDGE: Ein Malware-RAS-Tool

Die US-Behörden geben bekannt, dass der erste Virus in der HIDDEN COBRA-Kampagne namens COPPERHEDGE in mehreren Varianten verbreitet und zusammen mit Proxyservern verwendet wird. Das Hauptziel besteht darin, eine Malware-Präsenz in Opfernetzwerken aufrechtzuerhalten und zusätzliche Netzwerk-Exploits durchzuführen. Zu diesem Zeitpunkt umfassen die Domänen, über die es operiert, insgesamt 42. Die erste Variante ist eine 32-Bit-DLL-Datei, die die RC4-Verschlüsselung verwendet, um Zeichenfolgen zu verschleiern, die an das System übermittelt werden. Dies schließt die HTTP-Zeichenfolgen ein, die für die Kommunikation mit den von Remote-Hackern gesteuerten Servern verwendet werden. Zusammen mit einer Zeichenmanipulation der Zeichenfolgen kann es für die Netzwerkadministratoren schwieriger sein, eine aktive Infektion zu unterscheiden.

Die enthalten Backdoor-Funktion ist auch in anderen Varianten zu finden — Die Unterschiede liegen in den Dateien, die als Nutzdaten verwendet werden. Die Analyse der mit der COPPERHEDGE RAT verbundenen Bedrohungen hat es den US-Behörden ermöglicht, die böswilligen Fähigkeiten aufzulisten:

  • Systeminformationen abrufen — Diese Aktion sammelt Systeminformationen zu den geernteten Computern.
  • Fördert das Sammeln von Informationen — Dadurch werden die angeschlossenen Festplatten aufgelistet und diese Informationen an die Hacker gesendet.
  • Konfigurationsoptionen festlegen — Diese Malware-Aktion weist die Computer an, Konfigurationsdateien und -optionen zu ändern.
  • Konfigurationsoptionen abrufen — Dadurch werden die angegebenen Konfigurationsdateien heruntergeladen.
  • Bleib am Leben — Dadurch wird die COPPERHEDGE-Hintertür angewiesen, die Verbindung aufrechtzuerhalten, indem konstante Netzwerksignale gesendet werden.
  • setzen Sie Datei — Dadurch wird eine Datei auf die kontaminierten Computer hochgeladen.
  • erstellen Prozess — Dadurch wird ein Prozess erstellt, in den der Malware-Prozess geladen wird.
  • Führen Sie die Befehlszeile aus — Dadurch wird ein bestimmter Befehl in der Befehlszeile ausgeführt.
  • ZIP-Datei abrufen — Dadurch werden Dateien in einem ZIP-Archivformular abgerufen.
  • Prozessliste — Dadurch werden die aktiven Prozesse auf dem angegebenen Computer aufgelistet.
  • Prozess töten — Dies beendet einen laufenden Prozess.
  • Überwintern — Dadurch wird das System in den Ruhezustand versetzt.
  • Trennen — Dadurch wird die Verbindung unterbrochen.
  • Testen Sie Connect — Dadurch wird die Netzwerkverbindung getestet.

Eine Besonderheit einer der anderen Varianten von COPPERHEDGE-Malware ist, dass sie sich als Google Analytics-Cookie — Dazu kopieren Sie das von Google verwendete Standardformat und ändern es entsprechend. Eine andere Version ruft auch andere Systemdaten ab, einschließlich des freien Speicherplatzes auf der Festplatte und der Zeitstempel der Daten.

TAINTEDSCRIBE Trojaner: Eine fortschrittliche Malware-Waffe

Dies ist die Haupt-Malware, die Teil der HIDDEN COBRA-Kampagne ist. In den USA-Berichten heißt es, dass das erweiterte Modul für die dauerhafte Installation enthalten ist. Dadurch wird die Virendatei mit dem Befehl im Startordner abgelegt Narrator.exe Name. Eine einzelne Instanz kann insgesamt haben 5 IP-Adressen und versuchen Sie eine Verbindung dazu. Wenn eine Verbindung fehlschlägt, wartet die Hauptmaschine auf 60 Sekunden vor dem Versuch, eine Verbindung zur nächsten Adresse in der Zeile herzustellen.

Wenn eine Verbindung hergestellt ist, folgt ein Authentifizierungsprozess. Nach Abschluss des Vorgangs lädt der Trojaner ein weiteres Modul herunter, das für die Ausführung der Befehle verantwortlich ist. Die TAINTEDSCRIBE-Malware initiiert die Trojaner-Verbindung mithilfe von a FAKE TLS-Zertifikat — Dadurch wird eine vertrauenswürdige Verbindung simuliert, die die Netzwerkadministratoren nicht sensibilisiert.

Das Modul führt dann einen Handshake mit den von Hackern gesteuerten Servern durch Systeminformationen senden die von der Malware gesammelt wurde. Dies schließt Dienstnamen ein, aktuelle Konfigurationsoptionen des Betriebssystems und etc.. Es verfügt auch über eine umfangreiche Dateien und Prozessmanipulationen Fähigkeit, die der COPPERHEDGE RAT ähnlich ist. Dies beinhaltet die Möglichkeit, Dateien auf die Hosts hochzuladen, Benutzerdaten stehlen und vorhandene Dateien ändern. Befehlsausführung, sowie das Starten und Stoppen von Prozessen ist ebenfalls eingebettet.

verbunden: Lazarus Hacker Abuse FASTCASH Scheme gegen Banken weltweit

PEBBLEDASH Trojaner: Ein sekundärer nordkoreanischer Trojaner

Dieser Trojaner unterscheidet sich in seiner Funktionalität nicht wesentlich von TAINTEDSCRIBE. Es enthält so ziemlich die gleichen Funktionen. Die Malware-Analyse zeigt, dass sie sich selbst in DLL-Dateien importiert, die von Anwendungen und APIs verwendet werden. Mit verschleierten Zeichenfolgen kann der Trojaner verstecke seine Netzwerkaktivität. Ein Python-programmiertes Modul wird zur Entschlüsselung des Hauptcodes verwendet. Noch einmal a gefälschtes TLS-Zertifikat wird implementiert, wodurch Sicherheitsnetzwerk-Scans umgangen werden. Infolgedessen werden die Verbindungen zu bekannten Diensten und Unternehmen hergestellt.

verbunden: Entfernen Sie den Dark Nexus-Trojaner von Ihrem PC

Nordkoreanische Malware auf dem Vormarsch: Noch eine gefährliche Kampagne

Der HIDDEN COBRA-Angriff zeigt, dass nordkoreanische Hacking-Gruppen weiterhin gut organisierte Kampagnen starten. Beunruhigender an diesen Angriffen ist, dass sie verwendet werden benutzerdefinierte Malware die speziell für die Kampagnen verwendet werden. Andererseits werden die Ziele sorgfältig untersucht, um das Infektionsrisiko zu erhöhen.
Es ist möglich, dass bevorstehende Infektionen ausgelöst werden. Jedes Mal können die Nordkoreaner neue Strategien und Taktiken anwenden, um in die Netzwerke einzudringen. Es gibt viele Gründe, warum diese Infektionen durchgeführt werden, Trojaner wie diese werden hauptsächlich aus folgenden Gründen erstellt:

  • Sabotage - Da die Trojaner den Hackern erlauben, die Kontrolle über die infizierten Geräte zu übernehmen, können die Hacker vertrauliche Daten löschen und absichtlich Remote-Befehle starten, um sie zu stören.
  • Datendiebstahl & Spionage - Die Hacker können auch vertrauliche Benutzer- und Systeminformationen stehlen. Die Trojaner sind so konfiguriert, dass sie die Systeme nach den angeschlossenen Festplatten abfragen können, Dies kann auch auf verfügbare Netzwerkfreigaben erweitert werden, sodass auch auf Daten im internen Netzwerk zugegriffen werden kann. Das Ausspionieren der Benutzer des Opfers umfasst nicht nur das Ernten ihrer Daten, sondern auch die Überwachung der Zwischenablage und der Bewegung und Interaktion von Maus und Taste.
  • Erpressung - Die verursachten Infektionen können verwendet werden, um die Opfer zu erpressen, Dies ist besonders gefährlich, wenn große Unternehmen beteiligt sind.

Alle diese Aktionen zeigen, dass Sicherheitsadministratoren die erforderlichen Vorsichtsmaßnahmen treffen und ihre Netzwerke nach besten Kräften schützen sollten. Weitere Informationen finden Sie auf der offiziellen Beratungsseite.

Avatar

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge - Webseite

Folge mir:
ZwitschernGoogle plus

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...