Casa > Cyber ​​Notizie > Il malware nordcoreano colpisce ancora: 3 Nuovi strumenti avanzati scoperti
CYBER NEWS

Il malware nordcoreano colpisce ancora: 3 Nuovi strumenti avanzati scoperti

da   |  Last Update:  |  0 Commenti  


Una consulenza congiunta rilasciata dalle agenzie statunitensi rivela tre nuovi malware nordcoreani chiamati COPPERHEDGE, TAINTEDSCRIBE, e PEBBLEDASH.

I report sono pubblicati online sul sito CERT degli Stati Uniti e includono non solo una descrizione, ma anche un'analisi malware dei campioni raccolti. Secondo le autorità, questi virus sono stati utilizzati dal governo della Corea del Nord.

Malware nordcoreano colpito ancora una volta: La scoperta di tre nuovi virus

Le informazioni su tre nuovi malware nordcoreani sono state pubblicate dalle autorità statunitensi in un rapporto congiunto sul sito CERT americano. I dati pubblicati nell'analisi sono rivelati da agenzie chiave tra cui il Dipartimento della sicurezza interna, il dipartimento della difesa e l'FBI. Hanno scoperto e monitorato le campagne di attacco al fine di compilare record sul comportamento del malware e quindi produrre le analisi mostrate.




Le specifiche sul malware che dovrebbero provenire dalla Corea del Nord è che vengono lanciate in attacchi coordinati su larga scala. La maggior parte include moduli avanzati che causano molti danni alle reti contaminate. I virus nordcoreani sono generalmente messi contro agenzie governative straniere e grandi aziende, la maggior parte di essi non è destinata a infettare semplici utenti finali di computer. A causa del fatto che i malware della Corea del Nord sono tre e rilasciati in una campagna mirata che i ricercatori della sicurezza hanno chiamato come COBRA NASCOSTA.

1. COPPERHEDGE: Uno strumento di accesso remoto malware

Le autorità statunitensi rivelano che il primo virus della campagna HIDDEN COBRA chiamato COPPERHEDGE è distribuito in diverse varianti e utilizzato insieme ai server proxy. L'obiettivo principale è mantenere una presenza di malware nelle reti delle vittime e condurre ulteriori exploit di rete. In questo momento i domini attraverso i quali opera include un totale 42. La prima variante è un file DLL a 32 bit che utilizza il codice RC4 per offuscare le stringhe che vengono recapitate al sistema. Ciò include le stringhe HTTP utilizzate per comunicare con i server remoti controllati dagli hacker. Insieme a questo una manipolazione del carattere delle stringhe, gli amministratori di rete potrebbero trovare più difficile distinguere un'infezione attiva.

Incluso funzione backdoor si trova anche in altre varianti — le differenze sono nei file utilizzati come payload. L'analisi delle minacce associate al RAT di COPPERHEDGE ha permesso alle autorità statunitensi di elencare le capacità dannose:

  • Recupera le informazioni di sistema — Questa azione raccoglierà informazioni di sistema sui computer raccolti.
  • Guida alla raccolta di informazioni — Questo elencherà i dischi rigidi collegati e invierà tali informazioni agli hacker.
  • Imposta opzioni di configurazione — Questa azione di malware indirizzerà i computer a modificare i file e le opzioni di configurazione.
  • Recupera opzioni di configurazione — Questo scaricherà i file di configurazione forniti.
  • Keep Alive — Questo comanderà alla backdoor COPPERHEDGE di mantenere viva la connessione inviando segnali di rete costanti.
  • File Put — Ciò caricherà un file sui computer contaminati.
  • creare processo — Questo creerà un processo in cui verrà caricato il processo malware.
  • Esegui riga di comando — Questo eseguirà un certo comando sulla riga di comando.
  • ZIP Ottieni file — Questo recupererà i file in un modulo di archivio ZIP.
  • Elenco dei processi — Questo elencherà i processi attivi sul computer dato.
  • Process Kill — Questo ucciderà un processo in esecuzione.
  • Hibernate — Ciò farà ibernare il sistema.
  • Disconnect — Questo interromperà la connessione.
  • Test Connect — Questo verificherà la connessione di rete.

Una caratteristica distinta di una delle altre varianti del malware COPPERHEDGE è che si pone come Cookie di Google Analytics — ciò avviene copiando il formato standard utilizzato da Google e modificandolo di conseguenza. Un'altra versione recupererà anche altri dati di sistema tra cui lo spazio libero sul disco rigido e i timestamp dei dati.

TAINTEDSCRIBE Trojan: Un'arma malware avanzata

Questo è il malware principale che fa parte della campagna HIDDEN COBRA. Gli Stati Uniti riportano che include il modulo di installazione persistente avanzato. Ciò inserirà il file del virus nella cartella Avvio utilizzando il Nome Narrator.exe. Una singola istanza può avere un totale di 5 Indirizzi IP e tentare una connessione ad esso. Se una connessione fallisce, il motore principale attenderà 60 secondi prima di tentare di connettersi all'indirizzo successivo in linea.

Quando viene stabilita una connessione, seguirà un processo di autenticazione e, una volta completato, il Trojan scaricherà un altro modulo responsabile dell'esecuzione dei comandi. Il malware TAINTEDSCRIBE avvierà la connessione Trojan utilizzando un Certificato TLS FALSO — questo simulerà una connessione affidabile che non sensibilizzerà gli amministratori di rete.

Il modulo eseguirà una stretta di mano con i server controllati dagli hacker e quindi inviare informazioni di sistema che è stato raccolto dal malware. Ciò include i nomi dei servizi, attuali opzioni di configurazione del sistema operativo, ecc. Dispone anche di un file estesi e manipolazione dei processi abilità simile al RAT di COPPERHEDGE. Ciò include la capacità di caricare file sugli host, rubare i dati dell'utente e anche modificare i file esistenti. Esecuzione dei comandi, così come l'avvio e l'arresto dei processi è anche incorporato.

Correlata: Lazarus hacker abuso FASTCASH Scheme contro le banche in tutto il mondo

PEBBLEDASH Trojan: Un Trojan nordcoreano secondario

Questo Trojan non è molto diverso da TAINTEDSCRIBE nella sua funzionalità. Include praticamente le stesse funzionalità. L'analisi del malware mostra che si importa nei file DLL utilizzati da applicazioni e API. Usando stringhe offuscate il Trojan sarà in grado di farlo nascondere la sua attività di rete. Un modulo programmato Python viene utilizzato per la decrittazione del codice principale. Ancora una volta a certificato TLS falso è implementato per bypassare le scansioni della rete di sicurezza. Di conseguenza, i collegamenti appariranno come noti a servizi e aziende.

Correlata: Rimuovi Dark Nexus Trojan dal tuo PC

Malware nordcoreano in ascesa: Ancora un'altra campagna pericolosa

L'attacco HIDDEN COBRA mostra che i gruppi di hacker nordcoreani continuano a lanciare campagne ben organizzate. La cosa più inquietante di questi attacchi è che usano malware personalizzato che sono specificamente utilizzati per le campagne. D'altra parte, gli obiettivi sono attentamente studiati al fine di aumentare le possibilità di infezione.
È possibile che vengano lanciate infezioni imminenti. Ogni volta che i nordcoreani possono utilizzare nuove strategie e tattiche per intromettersi nelle reti. Ci sono molte ragioni per cui queste infezioni vengono fatte, Trojan come questi sono creati principalmente per i seguenti motivi:

  • Sabotaggio - Poiché i Trojan consentono agli hacker di assumere il controllo dei dispositivi infetti, gli hacker possono eliminare i dati sensibili e lanciare deliberatamente comandi remoti per malfunzionarli.
  • Il furto di dati & Spionaggio - Gli hacker possono anche rubare informazioni sensibili su utenti e sistemi. I Trojan sono configurati con la possibilità di eseguire il polling dei sistemi per i dischi rigidi collegati, questo può essere esteso anche alle condivisioni di rete disponibili che consentono anche l'accesso ai dati sulla rete interna. Spiare gli utenti della vittima includerà non solo la raccolta dei loro dati, ma anche il monitoraggio degli appunti e del mouse e dei movimenti e delle interazioni dei tasti.
  • Estorsione - Le infezioni fatte possono essere utilizzate per ricattare le vittime, questo è particolarmente pericoloso quando sono coinvolte grandi società.

Tutte queste azioni dimostrano che gli amministratori della sicurezza dovrebbero prendere le precauzioni necessarie e proteggere le loro reti al meglio delle loro capacità. Ulteriori informazioni sono disponibili sulla pagina di consulenza ufficiale.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. Rimuovere coreano ransomware e ripristino. 암호화 됨 file crittografati Una nuova variante HiddenTear cripto-virus, chiamato ransomware coreana, was discovered...
  2. CVE-2018-4878: Nordcoreani ScarCruft hacker Eseguire Bluetooth raccolta The North Korean hacker collective known as ScarCruft has been...
  3. Gli hacker APT di Lazarus legati alla Corea del Nord hanno rubato 400 milioni di dollari in criptovaluta Secondo un rapporto di Chainanalysis, North Korean hackers had a...
  4. BLINDINGCAN Il malware ha rivelato di essere l'ultima arma della Corea del Nord USA Government agencies have revealed a new virus originating from...
  5. Vawtrack - Nuova versione di Neverquest Trojan colpisce ancora Una nuova versione del famigerato Neverquest Trojan, used for...
  6. Monero criptovaluta Miner produce utili per la Corea del Nord Security researchers discovered that a recently released Monero cryptocurrency miner...
  7. Facebook ha multato 6 milioni di dollari per aver violato la privacy di milioni di utenti coreani Un'altra multa per Facebook per violazione degli utenti’ privacy in South...
  8. VHD Ransomware collegato agli hacker della Corea del Nord del gruppo Lazarus A new report was published revealing details about the dangerous...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo