北朝鮮のマルウェアが再びストライキ: 3 発見された新しい高度なツール

米国の機関によって発表された共同勧告は、COPPERHEDGEと呼ばれる3つの新しい北朝鮮のマルウェアを明らかにします, 汚染されたスクライブ, とPEBBLEDASH.

レポートはUSCERTサイトでオンラインで公開されており、説明だけでなく、収集されたサンプルのマルウェア分析も含まれています。. 当局によると、これらのウイルスは北朝鮮政府によって使用されています.

北朝鮮のマルウェアが再びヒット: 3つの新しいウイルスの発見

3つの新しい北朝鮮のマルウェアに関する情報が米国当局によって米国のCERTサイトの共同報告書で公開されました. 分析で公開されたデータは、国土安全保障省を含む主要機関によって明らかにされています, 国防総省とFBI. 彼らは、マルウェアの動作に関する記録を収集し、表示された分析を生成するために、攻撃キャンペーンを発見および監視しました。.

北朝鮮から発信されたと思われるマルウェアの詳細は、大規模な協調攻撃で起動されることです。. それらのほとんどには、汚染されたネットワークに多くの損害を与える高度なモジュールが含まれています. 北朝鮮のウイルスは通常、外国の政府機関や大企業に対して設定されています, それらの大部分は、単純なコンピューターのエンドユーザーに感染することを目的としていません。. 北朝鮮のマルウェアは3つであり、セキュリティ研究者が名前を付けたターゲットキャンペーンでリリースされたという事実のため 隠されたコブラ.

1. COPPERHEDGE: マルウェアリモートアクセスツール

米国当局は、COPPERHEDGEと呼ばれるHIDDEN COBRAキャンペーンの最初のウイルスがいくつかの亜種で配布され、プロキシサーバーと一緒に使用されていることを明らかにしました. 主な目標は、被害者のネットワークでマルウェアの存在を維持し、追加のネットワークエクスプロイトを実施することです. 現時点では、それが動作するドメインには合計が含まれています 42. 最初のバリアントは、RC4暗号を使用してシステムに配信される文字列を難読化する32ビットDLLファイルです。. これには、リモートのハッカー制御サーバーとの通信に使用されるHTTP文字列が含まれます. これに伴い、ネットワーク管理者は文字列の文字操作により、アクティブな感染を区別することがより困難になる可能性があります。.

含まれています バックドア機能 他の亜種にも見られます — 違いは、ペイロードとして使用されるファイルにあります. COPPERHEDGE RATに関連する脅威の分析により、米国当局は悪意のある機能を一覧表示することができました。:

• システム情報を取得する — このアクションは、収集されたコンピューターに関するシステム情報を収集します.
• 情報収集を推進 — これにより、接続されているハードドライブが一覧表示され、その情報がハッカーに送信されます.
• 構成オプションの設定 — このマルウェアアクションは、構成ファイルとオプションを変更するようにコンピューターに指示します.
• 構成オプションの取得 — これにより、指定された構成ファイルがダウンロードされます.
• 生き続ける — これにより、COPPERHEDGEバックドアに、一定のネットワーク信号を送信して接続を維持するように命令します。.
• ファイルを置く — これにより、汚染されたコンピューターにファイルがアップロードされます.
• プロセスの作成 — これにより、マルウェアプロセスがロードされるプロセスが作成されます.
• コマンドラインを実行する — これにより、コマンドラインで特定のコマンドが実行されます.
• ZIPファイルを取得 — これにより、ZIPアーカイブ形式のファイルが取得されます.
• プロセスリスト — これにより、特定のコンピューターでアクティブなプロセスが一覧表示されます.
• プロセスキル — これにより、実行中のプロセスが強制終了されます.
• Hibernate — これにより、システムが休止状態になります.
• 切断する — これにより接続が切断されます.
• テストコネクト — これにより、ネットワーク接続がテストされます.

COPPERHEDGEマルウェアの他の亜種の1つに特有の特徴は、それが GoogleAnalyticsのCookie — これは、Googleが使用する標準形式をコピーし、それに応じて変更することによって行われます。. 別のバージョンでは、ハードディスクの空き容量やデータのタイムスタンプなど、他のシステムデータも取得されます.

TAINTEDSCRIBEトロイの木馬: 高度なマルウェア武器

これは、HIDDENCOBRAキャンペーンの一部である主要なマルウェアです。. 米国の報告によると、高度な永続的インストールモジュールが含まれています. これにより、ウイルスファイルがスタートアップフォルダに配置されます。 Narrator.exe名. 1つのインスタンスに合計が含まれる場合があります 5 IPアドレスとそれに接続を試みます. 接続に失敗した場合、メインエンジンは待機します 60 行の次のアドレスに接続を試みる前の秒数.

接続が確立されると、認証プロセスが続き、完了すると、トロイの木馬はコマンドの実行を担当する別のモジュールをダウンロードします。. TAINTEDSCRIBEマルウェアは、 偽のTLS証明書 — これにより、信頼できる接続がシミュレートされ、ネットワーク管理者による認識が高まりません。.

モジュールは、ハッカーが制御するサーバーとハンドシェイクを実行してから、 システム情報を送信する マルウェアによって収集された. これにはサービス名が含まれます, 現在のオペレーティングシステムの構成オプションなど. また、 広範なファイルとプロセス操作 COPPERHEDGERATに似た能力. これには、ファイルをホストにアップロードする機能が含まれます, ユーザーデータを盗み、既存のファイルを変更する. コマンドの実行, プロセスの開始と停止だけでなく、.

PEBBLEDASHトロイの木馬: 二次北朝鮮トロイの木馬

このトロイの木馬は、その機能においてTAINTEDSCRIBEとそれほど違いはありません。. ほぼ同じ機能が含まれています. マルウェア分析は、アプリケーションとAPIによって使用されるDLLファイルに自分自身をインポートすることを示しています. 難読化された文字列を使用すると、トロイの木馬は次のことができるようになります。 ネットワークアクティビティを非表示にする. Pythonでプログラムされたモジュールは、メインコードの復号化に使用されます. もう一度 偽のTLS証明書 セキュリティネットワークスキャンをバイパスする実装. その結果、接続は有名なサービスや企業への接続であるように見えます.

上昇中の北朝鮮のマルウェア: さらに別の危険なキャンペーン

HIDDEN COBRA攻撃は、北朝鮮のハッキンググループが引き続き組織的なキャンペーンを開始していることを示しています. これらの攻撃についてさらに厄介なのは、それらが使用することです カスタムマルウェア キャンペーンに特に使用される. 一方、感染の可能性を高めるために、ターゲットは慎重に調査されます.
今後の感染が開始される可能性があります. 北朝鮮人がネットワークに侵入するために新しい戦略と戦術を利用するたびに. これらの感染が行われる理由はたくさんあります, このようなトロイの木馬は、主に次の理由で作成されます:

• サボタージュ –トロイの木馬は、ハッカーが感染したデバイスの制御を引き継ぐことを許可するため、ハッカーは機密データを削除し、意図的にリモートコマンドを起動してそれらを誤動作させる可能性があります.
• データの盗難 & スパイ –ハッカーは、機密性の高いユーザーおよびシステム情報を盗むこともできます. トロイの木馬は、接続されているハードドライブについてシステムをポーリングする機能を備えて構成されています, これは、内部ネットワーク上のデータにもアクセスできるようにする利用可能なネットワーク共有に拡張することもできます。. 被害者のユーザーをスパイすることには、データを収集するだけでなく、, クリップボードとマウス、キーの動きと相互作用も監視します.
• 恐喝 –作成された感染は、被害者を脅迫するために使用できます, 大企業が関与している場合、これは特に危険です.

これらのすべてのアクションは、セキュリティ管理者が必要な予防措置を講じて、ネットワークを最大限に保護する必要があることを示しています。. 詳細については、公式アドバイザリーページをご覧ください。.