Una consulenza congiunta rilasciata dalle agenzie statunitensi rivela tre nuovi malware nordcoreani chiamati COPPERHEDGE, TAINTEDSCRIBE, e PEBBLEDASH.
I report sono pubblicati online sul sito CERT degli Stati Uniti e includono non solo una descrizione, ma anche un'analisi malware dei campioni raccolti. Secondo le autorità, questi virus sono stati utilizzati dal governo della Corea del Nord.
Malware nordcoreano colpito ancora una volta: La scoperta di tre nuovi virus
Le informazioni su tre nuovi malware nordcoreani sono state pubblicate dalle autorità statunitensi in un rapporto congiunto sul sito CERT americano. I dati pubblicati nell'analisi sono rivelati da agenzie chiave tra cui il Dipartimento della sicurezza interna, il dipartimento della difesa e l'FBI. Hanno scoperto e monitorato le campagne di attacco al fine di compilare record sul comportamento del malware e quindi produrre le analisi mostrate.
Le specifiche sul malware che dovrebbero provenire dalla Corea del Nord è che vengono lanciate in attacchi coordinati su larga scala. La maggior parte include moduli avanzati che causano molti danni alle reti contaminate. I virus nordcoreani sono generalmente messi contro agenzie governative straniere e grandi aziende, la maggior parte di essi non è destinata a infettare semplici utenti finali di computer. A causa del fatto che i malware della Corea del Nord sono tre e rilasciati in una campagna mirata che i ricercatori della sicurezza hanno chiamato come COBRA NASCOSTA.
1. COPPERHEDGE: Uno strumento di accesso remoto malware
Le autorità statunitensi rivelano che il primo virus della campagna HIDDEN COBRA chiamato COPPERHEDGE è distribuito in diverse varianti e utilizzato insieme ai server proxy. L'obiettivo principale è mantenere una presenza di malware nelle reti delle vittime e condurre ulteriori exploit di rete. In questo momento i domini attraverso i quali opera include un totale 42. La prima variante è un file DLL a 32 bit che utilizza il codice RC4 per offuscare le stringhe che vengono recapitate al sistema. Ciò include le stringhe HTTP utilizzate per comunicare con i server remoti controllati dagli hacker. Insieme a questo una manipolazione del carattere delle stringhe, gli amministratori di rete potrebbero trovare più difficile distinguere un'infezione attiva.
Incluso funzione backdoor si trova anche in altre varianti — le differenze sono nei file utilizzati come payload. L'analisi delle minacce associate al RAT di COPPERHEDGE ha permesso alle autorità statunitensi di elencare le capacità dannose:
- Recupera le informazioni di sistema — Questa azione raccoglierà informazioni di sistema sui computer raccolti.
- Guida alla raccolta di informazioni — Questo elencherà i dischi rigidi collegati e invierà tali informazioni agli hacker.
- Imposta opzioni di configurazione — Questa azione di malware indirizzerà i computer a modificare i file e le opzioni di configurazione.
- Recupera opzioni di configurazione — Questo scaricherà i file di configurazione forniti.
- Keep Alive — Questo comanderà alla backdoor COPPERHEDGE di mantenere viva la connessione inviando segnali di rete costanti.
- File Put — Ciò caricherà un file sui computer contaminati.
- creare processo — Questo creerà un processo in cui verrà caricato il processo malware.
- Esegui riga di comando — Questo eseguirà un certo comando sulla riga di comando.
- ZIP Ottieni file — Questo recupererà i file in un modulo di archivio ZIP.
- Elenco dei processi — Questo elencherà i processi attivi sul computer dato.
- Process Kill — Questo ucciderà un processo in esecuzione.
- Hibernate — Ciò farà ibernare il sistema.
- Disconnect — Questo interromperà la connessione.
- Test Connect — Questo verificherà la connessione di rete.
Una caratteristica distinta di una delle altre varianti del malware COPPERHEDGE è che si pone come Cookie di Google Analytics — ciò avviene copiando il formato standard utilizzato da Google e modificandolo di conseguenza. Un'altra versione recupererà anche altri dati di sistema tra cui lo spazio libero sul disco rigido e i timestamp dei dati.
TAINTEDSCRIBE Trojan: Un'arma malware avanzata
Questo è il malware principale che fa parte della campagna HIDDEN COBRA. Gli Stati Uniti riportano che include il modulo di installazione persistente avanzato. Ciò inserirà il file del virus nella cartella Avvio utilizzando il Nome Narrator.exe. Una singola istanza può avere un totale di 5 Indirizzi IP e tentare una connessione ad esso. Se una connessione fallisce, il motore principale attenderà 60 secondi prima di tentare di connettersi all'indirizzo successivo in linea.
Quando viene stabilita una connessione, seguirà un processo di autenticazione e, una volta completato, il Trojan scaricherà un altro modulo responsabile dell'esecuzione dei comandi. Il malware TAINTEDSCRIBE avvierà la connessione Trojan utilizzando un Certificato TLS FALSO — questo simulerà una connessione affidabile che non sensibilizzerà gli amministratori di rete.
Il modulo eseguirà una stretta di mano con i server controllati dagli hacker e quindi inviare informazioni di sistema che è stato raccolto dal malware. Ciò include i nomi dei servizi, attuali opzioni di configurazione del sistema operativo, ecc. Dispone anche di un file estesi e manipolazione dei processi abilità simile al RAT di COPPERHEDGE. Ciò include la capacità di caricare file sugli host, rubare i dati dell'utente e anche modificare i file esistenti. Esecuzione dei comandi, così come l'avvio e l'arresto dei processi è anche incorporato.
PEBBLEDASH Trojan: Un Trojan nordcoreano secondario
Questo Trojan non è molto diverso da TAINTEDSCRIBE nella sua funzionalità. Include praticamente le stesse funzionalità. L'analisi del malware mostra che si importa nei file DLL utilizzati da applicazioni e API. Usando stringhe offuscate il Trojan sarà in grado di farlo nascondere la sua attività di rete. Un modulo programmato Python viene utilizzato per la decrittazione del codice principale. Ancora una volta a certificato TLS falso è implementato per bypassare le scansioni della rete di sicurezza. Di conseguenza, i collegamenti appariranno come noti a servizi e aziende.
Malware nordcoreano in ascesa: Ancora un'altra campagna pericolosa
L'attacco HIDDEN COBRA mostra che i gruppi di hacker nordcoreani continuano a lanciare campagne ben organizzate. La cosa più inquietante di questi attacchi è che usano malware personalizzato che sono specificamente utilizzati per le campagne. D'altra parte, gli obiettivi sono attentamente studiati al fine di aumentare le possibilità di infezione.
È possibile che vengano lanciate infezioni imminenti. Ogni volta che i nordcoreani possono utilizzare nuove strategie e tattiche per intromettersi nelle reti. Ci sono molte ragioni per cui queste infezioni vengono fatte, Trojan come questi sono creati principalmente per i seguenti motivi:
- Sabotaggio - Poiché i Trojan consentono agli hacker di assumere il controllo dei dispositivi infetti, gli hacker possono eliminare i dati sensibili e lanciare deliberatamente comandi remoti per malfunzionarli.
- Il furto di dati & Spionaggio - Gli hacker possono anche rubare informazioni sensibili su utenti e sistemi. I Trojan sono configurati con la possibilità di eseguire il polling dei sistemi per i dischi rigidi collegati, questo può essere esteso anche alle condivisioni di rete disponibili che consentono anche l'accesso ai dati sulla rete interna. Spiare gli utenti della vittima includerà non solo la raccolta dei loro dati, ma anche il monitoraggio degli appunti e del mouse e dei movimenti e delle interazioni dei tasti.
- Estorsione - Le infezioni fatte possono essere utilizzate per ricattare le vittime, questo è particolarmente pericoloso quando sono coinvolte grandi società.
Tutte queste azioni dimostrano che gli amministratori della sicurezza dovrebbero prendere le precauzioni necessarie e proteggere le loro reti al meglio delle loro capacità. Ulteriori informazioni sono disponibili sulla pagina di consulenza ufficiale.