Accueil > Nouvelles Cyber > Les malwares nord-coréens frappent à nouveau: 3 Découverte de nouveaux outils avancés
CYBER NOUVELLES

Malware nord-coréen frappe à nouveau: 3 Découverte de nouveaux outils avancés

par   |  Last Update:  |  0 Commentaires  


Un avis conjoint publié par des agences américaines révèle trois nouveaux malwares nord-coréens appelés COPPERHEDGE, TAINTEDSCRIBE, et PEBBLEDASH.

Les rapports sont publiés en ligne sur le site de l'US CERT et comprennent non seulement une description mais également une analyse des logiciels malveillants des échantillons collectés. Selon les autorités, ces virus ont été utilisés par le gouvernement de la Corée du Nord.

Malware nord-coréen encore une fois: La découverte de trois nouveaux virus

Des informations sur trois nouveaux malwares nord-coréens ont été publiées par les autorités américaines dans un rapport conjoint sur le site américain du CERT. Les données publiées dans l'analyse sont révélées par des agences clés, dont le Department of Homeland Security, le ministère de la Défense et le FBI. Ils ont découvert et surveillé les campagnes d'attaque afin de compiler des enregistrements sur le comportement du malware et ensuite produire les analyses montrées.




Les particularités des logiciels malveillants censés provenir de la Corée du Nord sont qu'ils sont lancés dans des attaques coordonnées à grande échelle. La plupart d'entre eux comprennent des modules avancés qui causent beaucoup de dégâts aux réseaux contaminés. Les virus nord-coréens sont généralement dirigés contre les agences gouvernementales étrangères et les grandes entreprises, la majorité d'entre eux ne sont pas destinés à infecter de simples utilisateurs finaux d'ordinateurs. En raison du fait que les logiciels malveillants nord-coréens sont au nombre de trois et publiés dans une campagne ciblée que les chercheurs en sécurité ont nommé COBRA CACHÉ.

1. COPPERHEDGE: Un outil d'accès à distance aux logiciels malveillants

Les autorités américaines révèlent que le premier virus de la campagne HIDDEN COBRA appelé COPPERHEDGE est distribué en plusieurs variantes et utilisé avec des serveurs proxy. L'objectif principal est de maintenir une présence de logiciels malveillants dans les réseaux victimes et d'effectuer des exploits supplémentaires sur le réseau. En ce moment, les domaines à travers lesquels il opère comprend un total est 42. La première variante est un fichier DLL 32 bits qui utilise le chiffrement RC4 pour masquer les chaînes qui sont livrées au système. Cela inclut les chaînes HTTP utilisées pour communiquer avec les serveurs contrôlés par des pirates distants. Parallèlement à cela, une manipulation des caractères des chaînes les administrateurs de réseau peuvent trouver plus difficile de distinguer une infection active.

Le inclus fonction de porte dérobée se trouve également dans d'autres variantes — les différences sont dans les fichiers qui sont utilisés comme charges utiles. L'analyse des menaces associées au COPPERHEDGE RAT a permis aux autorités américaines de répertorier les capacités malveillantes:

  • Récupérer les informations système — Cette action va collecter des informations système sur les ordinateurs récoltés.
  • Collecte d'informations — Cela répertoriera les disques durs connectés et enverra ces informations aux pirates.
  • Définir les options de configuration — Cette action de malware dirigera les ordinateurs pour modifier les fichiers de configuration et les options.
  • Récupérer les options de configuration — Cela va télécharger les fichiers de configuration donnés.
  • Rester en vie — Cela commandera à la porte dérobée COPPERHEDGE de maintenir vivante la connexion en envoyant des signaux réseau constants.
  • fichier mettre — Cela va télécharger un fichier sur les ordinateurs contaminés.
  • Créer processus — Cela créera un processus dans lequel le processus de malware sera chargé.
  • Exécuter la ligne de commande — Cela exécutera une certaine commande sur la ligne de commande.
  • ZIP Get File — Cela permettra de récupérer des fichiers sous forme d'archive ZIP.
  • Liste des processus — Cela listera les processus actifs sur l'ordinateur donné.
  • Process Kill — Cela tuera un processus en cours.
  • Hiberner — Cela entraînera la mise en veille prolongée du système.
  • couper — Cela rompra la connexion.
  • Test Connect — Cela testera la connexion réseau.

Une caractéristique distincte de l’une des autres variantes du logiciel malveillant COPPERHEDGE est qu’il se Cookie Google Analytics — cela se fait en copiant le format standard utilisé par Google et en le modifiant en conséquence. Une autre version récupérera également d'autres données système, y compris l'espace libre sur le disque dur et les horodatages des données.

Cheval de Troie TAINTEDSCRIBE: Une arme avancée contre les malwares

Ceci est le principal malware qui fait partie de la campagne HIDDEN COBRA. Le rapport des États-Unis indique qu'il comprend le module d'installation persistante avancé. Cela placera le fichier de virus dans le dossier de démarrage en utilisant le Nom Narrator.exe. Une seule instance peut avoir un total de 5 Adresses IP et tentative de connexion à celle-ci. Si une connexion échoue, le moteur principal attendra 60 secondes avant de tenter de se connecter à la prochaine adresse en ligne.

Lorsqu'une connexion est établie, un processus d'authentification suit et une fois terminé, le cheval de Troie télécharge un autre module qui est responsable de l'exécution des commandes.. Le malware TAINTEDSCRIBE lancera la connexion du cheval de Troie à l'aide d'un Certificat FAKE TLS — cela simulera une connexion de confiance qui ne sensibilisera pas les administrateurs réseau.

Le module effectuera une prise de contact avec les serveurs contrôlés par les pirates, puis envoyer des informations système qui a été collecté par le malware. Cela inclut les noms de service, options de configuration actuelles du système d'exploitation, etc.. Il comporte également un fichiers volumineux et manipulation de processus capacité qui est similaire à la COPPERHEDGE RAT. Cela inclut la possibilité de télécharger des fichiers sur les hôtes, voler des données utilisateur et également modifier des fichiers existants. Exécution des commandes, ainsi que le démarrage et l'arrêt des processus est également intégré.

en relation: Les pirates informatiques Lazare abus contre les banques Scheme Retrait éclair dans le monde entier

Cheval de Troie PEBBLEDASH: Un cheval de Troie nord-coréen secondaire

Ce cheval de Troie n'est pas tellement différent de TAINTEDSCRIBE dans ses fonctionnalités. Il comprend à peu près les mêmes capacités. L'analyse des logiciels malveillants montre qu'il s'importe dans les fichiers DLL utilisés par les applications et les API. En utilisant des chaînes obscurcies, le cheval de Troie pourra masquer son activité réseau. Un module programmé Python est utilisé pour le décryptage du code principal. Encore une fois faux certificat TLS est implémenté qui contournera les analyses de sécurité du réseau. En conséquence, les connexions apparaîtront comme étant à des services et des entreprises bien connus.

en relation: Supprimer le Dark Nexus Trojan de votre PC

Malware nord-coréen en hausse: Encore une autre campagne dangereuse

L'attaque HIDDEN COBRA montre que les groupes de piratage nord-coréens continuent de lancer des campagnes bien organisées. Le plus troublant de ces attaques est qu’elles utilisent malware personnalisé qui sont spécifiquement utilisés pour les campagnes. D'autre part, les cibles sont soigneusement recherchées afin d'augmenter les risques d'infection.
Il est possible que les prochaines infections soient lancées. Chaque fois que les Nord-Coréens peuvent utiliser de nouvelles stratégies et tactiques pour s'introduire dans les réseaux. Il y a plusieurs raisons pour lesquelles ces infections se font, Les chevaux de Troie comme celui-ci sont créés principalement pour les raisons suivantes:

  • Sabotage - Comme les chevaux de Troie permettent aux pirates de prendre le contrôle des appareils infectés, les pirates peuvent supprimer des données sensibles et lancer délibérément des commandes à distance pour les mal fonctionner..
  • Le vol de données & Espionnage - Les pirates peuvent également voler des informations sensibles sur les utilisateurs et le système. Les chevaux de Troie sont configurés avec la possibilité d'interroger les systèmes pour les disques durs connectés, cela peut également être étendu aux partages réseau disponibles qui permettent aux données sur le réseau interne de devenir également accessibles. Espionner les utilisateurs victimes comprendra non seulement la collecte de leurs données, mais aussi surveiller le presse-papiers et la souris et les mouvements et interactions clés.
  • Extorsion - Les infections faites peuvent être utilisées pour faire chanter les victimes, cela est particulièrement dangereux lorsque de grandes sociétés sont impliquées.

Toutes ces actions montrent que les administrateurs de sécurité doivent prendre les précautions nécessaires et protéger leurs réseaux au mieux de leurs capacités. De plus amples informations peuvent être trouvées sur la page consultative officielle.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Retirer coréenne Ransomware et restauration. 암호화 됨 fichiers cryptés Une nouvelle variante HiddenTear crypto-virus, ransomware coréenne nommée, was discovered...
  2. CVE-2018-4878: Corée du Nord ScarCruft Les pirates informatiques Perform Bluetooth Récolter The North Korean hacker collective known as ScarCruft has been...
  3. Des pirates Lazarus APT liés à la Corée du Nord ont volé 400 millions de dollars en crypto-monnaie Selon un rapport Chainanalysis, North Korean hackers had a...
  4. Le logiciel malveillant BLINDINGCAN s'est révélé être la dernière arme de la Corée du Nord USA Government agencies have revealed a new virus originating from...
  5. Vawtrack - Nouvelle version de Neverquest Trojan Strikes Again Une nouvelle version de la fameuse Neverquest Troie, used for...
  6. Monero Miner crypto-monnaie Profit pour la Corée Génère du Nord Des chercheurs en sécurité ont découvert qu'un mineur de crypto-monnaie Monero récemment publié ...
  7. Facebook condamné à une amende de 6 millions de dollars pour avoir enfreint la vie privée de millions d'utilisateurs coréens Une autre amende pour Facebook pour avoir violé les utilisateurs’ privacy in South...
  8. VHD Ransomware lié aux pirates de la Corée du Nord du groupe Lazarus A new report was published revealing details about the dangerous...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord