Huis > Cyber ​​Nieuws > Noord-Koreaanse malware slaat opnieuw toe: 3 Nieuwe geavanceerde tools ontdekt
CYBER NEWS

Noord-Koreaanse malware valt opnieuw op: 3 Nieuwe geavanceerde tools ontdekt


Een gezamenlijk advies van Amerikaanse instanties onthult drie nieuwe Noord-Koreaanse malware genaamd COPPERHEDGE, TAINTEDSCRIBE, en PEBBLEDASH.

De rapporten worden online gepubliceerd op de US CERT-site en bevatten niet alleen een beschrijving, maar ook een malware-analyse van verzamelde monsters. Volgens de autoriteiten zijn deze virussen gebruikt door de regering van Noord-Korea.

Noord-Koreaanse malware opnieuw getroffen: De ontdekking van drie nieuwe virussen

Informatie over drie nieuwe Noord-Koreaanse malware is door de Amerikaanse autoriteiten gepubliceerd in een gezamenlijk rapport op de Amerikaanse CERT-site. De gegevens die in de analyse zijn gepubliceerd, worden onthuld door belangrijke instanties, waaronder het ministerie van Binnenlandse Veiligheid, het Ministerie van Defensie en de FBI. Ze hebben de aanvalscampagnes ontdekt en gevolgd om gegevens over het malwaregedrag op te stellen en vervolgens de getoonde analyses te maken.




De bijzonderheden over malware die afkomstig zou zijn uit Noord-Korea is dat ze worden gelanceerd in grootschalige gecoördineerde aanvallen. De meeste bevatten geavanceerde modules die veel schade toebrengen aan de besmette netwerken. Noord-Koreaanse virussen zijn meestal gericht tegen buitenlandse overheidsinstanties en grote bedrijven, de meeste van hen zijn niet bedoeld om eenvoudige computer-eindgebruikers te besmetten. Vanwege het feit dat de Noord-Koreaanse malware drie is en is uitgebracht in een gerichte campagne die beveiligingsonderzoekers het hebben genoemd VERBORGEN COBRA.

1. KOPER: Een Malware Remote Access Tool

De Amerikaanse autoriteiten onthullen dat het eerste virus in de HIDDEN COBRA-campagne genaamd COPPERHEDGE in verschillende varianten wordt verspreid en samen met proxyservers wordt gebruikt. Het belangrijkste doel is om de aanwezigheid van malware in slachtoffernetwerken te behouden en aanvullende netwerkexploitaties uit te voeren. Op dit moment omvat het domein waardoor het opereert een totaal 42. De eerste variant is een 32-bit DLL-bestand dat het RC4-cijfer gebruikt om tekenreeksen te verdoezelen die aan het systeem worden geleverd. Dit omvat de HTTP-reeksen die worden gebruikt om te communiceren met de externe, door hackers bestuurde servers. Samen met dit een karaktermanipulatie van de strings kunnen de netwerkbeheerders het moeilijker vinden om een ​​actieve infectie te onderscheiden.

De inbegrepen achterdeur functie komt ook voor in andere varianten — de verschillen zitten in de bestanden die worden gebruikt als de payloads. Door de analyse van de bedreigingen die samenhangen met de COPPERHEDGE RAT, hebben de Amerikaanse autoriteiten de kwaadaardige mogelijkheden kunnen opsommen:

  • Systeeminformatie ophalen — Deze actie verzamelt systeeminformatie over de geoogste computers.
  • Drives Information Gathering — Hiermee worden de aangesloten harde schijven weergegeven en die informatie naar de hackers gestuurd.
  • Configuratie-opties instellen — Deze malwareactie leidt de computers om configuratiebestanden en opties te wijzigen.
  • Configuratie-opties ophalen — Hiermee worden de opgegeven configuratiebestanden gedownload.
  • In leven houden — Dit zal de achterdeur van COPPERHEDGE opdracht geven om de verbinding levend te houden door constante netwerksignalen uit te zenden.
  • Put File — Hiermee wordt een bestand geüpload naar de besmette computers.
  • Maak Process — Dit zal een proces creëren waarin het malware-proces zal worden geladen.
  • Voer de opdrachtregel uit — Dit zal een bepaalde opdracht op de opdrachtregel uitvoeren.
  • ZIP Bestand ophalen — Hiermee worden bestanden opgehaald in een ZIP-archiefvorm.
  • Proceslijst — Dit geeft een overzicht van de actieve processen op de gegeven computer.
  • Process Kill — Dit zal een lopend proces stoppen.
  • Slaapstand — Hierdoor zal het systeem in de slaapstand gaan.
  • Loskoppelen — Hierdoor wordt de verbinding verbroken.
  • Test Connect — Hiermee wordt de netwerkverbinding getest.

Een onderscheidend kenmerk van een van de andere varianten van COPPERHEDGE-malware is dat het zich voordoet als een Google Analytics-cookie — dit wordt gedaan door het door Google gebruikte standaardformaat te kopiëren en dienovereenkomstig aan te passen. Een andere versie zal ook andere systeemgegevens ophalen, inclusief de vrije ruimte op de harde schijf en tijdstempels van gegevens.

TAINTEDSCRIBE Trojan: Een geavanceerd malware-wapen

Dit is de belangrijkste malware die deel uitmaakt van de HIDDEN COBRA-campagne. De Amerikaanse rapporten lezen dat het de geavanceerde persistente installatiemodule bevat. Dit plaatst het virusbestand in de map Opstarten met behulp van de Narrator.exe naam. Een enkele instantie kan een totaal hebben van 5 IP-adressen en probeer er verbinding mee te maken. Als een verbinding mislukt, wacht de hoofdmotor 60 seconden voordat u probeert verbinding te maken met het volgende adres in de rij.

Wanneer er verbinding wordt gemaakt, volgt een authenticatieproces en wanneer voltooid, downloadt de Trojan een andere module die verantwoordelijk is voor het uitvoeren van opdrachten. De TAINTEDSCRIBE-malware zal de Trojaanse verbinding tot stand brengen met een FAKE TLS-certificaat — dit simuleert een vertrouwde verbinding die de netwerkbeheerders niet bewust maakt.

De module voert een handdruk uit met de door hackers bestuurde servers en vervolgens systeeminformatie verzenden die is verzameld door de malware. Dit omvat servicenamen, huidige configuratieopties voor het besturingssysteem en etc. Het beschikt ook over een uitgebreide bestanden en procesmanipulatie mogelijkheid die vergelijkbaar is met de COPPERHEDGE RAT. Dit omvat de mogelijkheid om bestanden naar de hosts te uploaden, gebruikersgegevens stelen en ook bestaande bestanden wijzigen. Commando's uitvoering, evenals het starten en stoppen van processen is ook ingebed.

Verwant: Lazarus Hackers melden Fastcash Scheme tegen banken Worldwide

PEBBLEDASH Trojan: Een secundaire Noord-Koreaanse trojan

Deze Trojan verschilt niet zo veel van TAINTEDSCRIBE in zijn functionaliteit. Het bevat vrijwel dezelfde mogelijkheden. De malware-analyse laat zien dat het zichzelf importeert in DLL-bestanden die worden gebruikt door applicaties en API's. Met behulp van versluierde tekenreeksen kan de Trojan dit doen verberg zijn netwerkactiviteit. Een Python-geprogrammeerde module wordt gebruikt voor het decoderen van de hoofdcode. Nogmaals een nep TLS-certificaat is geïmplementeerd die beveiligingsnetwerkscans zal omzeilen. Hierdoor zullen de verbindingen lijken op bekende diensten en bedrijven.

Verwant: Verwijder Dark Nexus Trojan van uw pc

Noord-Koreaanse malware in opkomst: Nog een andere gevaarlijke campagne

De HIDDEN COBRA-aanval laat zien dat Noord-Koreaanse hackgroepen goed georganiseerde campagnes blijven lanceren. Wat meer verontrustend is aan deze aanvallen, is dat ze gebruiken aangepaste malware die specifiek worden gebruikt voor de campagnes. Aan de andere kant worden de doelen zorgvuldig onderzocht om de kans op infectie te vergroten.
Het is mogelijk dat aanstaande infecties worden gelanceerd. Elke keer kunnen de Noord-Koreanen nieuwe strategieën en tactieken gebruiken om de netwerken binnen te dringen. Er zijn veel redenen waarom deze infecties worden gedaan, Trojaanse paarden zoals deze zijn voornamelijk gemaakt om de volgende redenen:

  • Sabotage - Aangezien de Trojaanse paarden de hackers toestaan ​​de controle over de geïnfecteerde apparaten over te nemen, kunnen de hackers gevoelige gegevens verwijderen en opzettelijk externe opdrachten geven om ze te verstoren.
  • Diefstal van gegevens & Spionage - De hackers kunnen ook gevoelige gebruikers- en systeeminformatie stelen. De Trojaanse paarden zijn geconfigureerd met de mogelijkheid om de systemen voor de aangesloten harde schijven te pollen, dit kan ook worden uitgebreid tot beschikbare netwerkshares, waardoor ook gegevens op het interne netwerk toegankelijk kunnen worden. Het bespioneren van de slachtoffergebruikers omvat niet alleen het verzamelen van hun gegevens, maar ook het bewaken van het klembord en de muis en de bewegingen en interacties van de toetsen.
  • Afpersing - De gemaakte infecties kunnen worden gebruikt om de slachtoffers te chanteren, dit is vooral gevaarlijk wanneer er grote bedrijven bij betrokken zijn.

Al deze acties laten zien dat beveiligingsbeheerders de nodige voorzorgsmaatregelen moeten nemen en hun netwerken zo goed mogelijk moeten beschermen. Meer informatie vindt u op de officiële adviespagina.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens