O malware norte-coreano ataca novamente: 3 Novas ferramentas avançadas descobertas
CYBER NEWS

O malware norte-coreano ataca novamente: 3 Novas ferramentas avançadas descobertas


Um comunicado conjunto divulgado pelas agências dos EUA revela três novos malwares norte-coreanos chamados COPPERHEDGE, TAINTEDSCRIBE, e PEBBLEDASH.

Os relatórios são publicados on-line no site US CERT e incluem não apenas uma descrição, mas também uma análise de malware das amostras coletadas. Segundo as autoridades, esses vírus foram usados ​​pelo governo da Coréia do Norte.

Malware da Coréia do Norte é atingido mais uma vez: A descoberta de três novos vírus

Informações sobre três novos malwares norte-coreanos foram publicadas pelas autoridades dos EUA em um relatório conjunto no site americano do CERT. Os dados publicados na análise são revelados pelas principais agências, incluindo o Departamento de Segurança Interna, o Departamento de Defesa e o FBI. Eles descobriram e monitoraram as campanhas de ataque para compilar registros sobre o comportamento do malware e, em seguida, produzir as análises mostradas.




Os detalhes específicos sobre malware que devem ser originários da Coréia do Norte são que eles são lançados em ataques coordenados em larga escala. A maioria deles inclui módulos avançados que causam muitos danos às redes contaminadas. Os vírus norte-coreanos geralmente são contra agências governamentais estrangeiras e grandes empresas, a maioria deles não se destina a infectar usuários finais simples de computadores. Devido ao fato de o malware norte-coreano ter três anos e ser lançado em uma campanha direcionada que os pesquisadores de segurança o chamaram de COBRA ESCONDIDO.

1. COBERTURA: Uma ferramenta de acesso remoto a malware

As autoridades americanas revelam que o primeiro vírus da campanha HIDDEN COBRA chamado COPPERHEDGE é distribuído em várias variantes e usado em conjunto com servidores proxy. O principal objetivo é manter a presença de malware nas redes de vítimas e realizar explorações de rede adicionais. Neste momento, os domínios pelos quais opera inclui um total de 42. A primeira variante é um arquivo DLL de 32 bits que usa a cifra RC4 para ofuscar seqüências de caracteres que são entregues ao sistema. Isso inclui as sequências HTTP usadas para se comunicar com os servidores remotos controlados por hackers. Junto com isso, uma manipulação de caracteres das seqüências de caracteres que os administradores de rede podem achar mais difícil distinguir uma infecção ativa.

O incluído função backdoor também é encontrado em outras variantes — as diferenças estão nos arquivos que são usados ​​como cargas úteis. A análise das ameaças associadas ao COPPERHEDGE RAT permitiu às autoridades americanas listar os recursos maliciosos:

  • Recuperar informações do sistema — Esta ação reunirá informações do sistema sobre os computadores coletados.
  • Coleta de informações sobre unidades — Isso listará os discos rígidos conectados e enviará essas informações aos hackers.
  • Definir opções de configuração — Essa ação de malware direcionará os computadores para modificar os arquivos e opções de configuração.
  • Recuperar opções de configuração — Isso fará o download dos arquivos de configuração fornecidos.
  • Mantenha vivo — Isso comandará o backdoor da COPPERHEDGE para manter viva a conexão enviando sinais de rede constantes.
  • Colocar arquivo — Isso fará o upload de um arquivo para os computadores contaminados.
  • Criar Processo — Isso criará um processo no qual o processo de malware será carregado.
  • Executar linha de comando — Isso executará um certo comando na linha de comando.
  • ZIP Obter arquivo — Isso recuperará arquivos em um formulário de arquivo ZIP.
  • Lista de processos — Isso listará os processos ativos no computador especificado.
  • Process Kill — Isso matará um processo em execução.
  • Hibernate — Isso fará com que o sistema hiberne.
  • desconectar — Isso interromperá a conexão.
  • Test Connect — Isso testará a conexão de rede.

Uma característica distinta de uma das outras variantes do malware COPPERHEDGE é que ele se apresenta como um Cookie do Google Analytics — isso é feito copiando o formato padrão usado pelo Google e modificando-o de acordo. Outra versão também recuperará outros dados do sistema, incluindo espaço livre no disco rígido e registros de data e hora dos dados.

Trojan TAINTEDSCRIBE: Uma arma avançada contra malware

Este é o principal malware que faz parte da campanha HIDDEN COBRA. Os relatórios dos EUA lêem que incluem o módulo de instalação persistente avançado. Isso colocará o arquivo de vírus na pasta Inicialização, usando o Nome do Narrator.exe. Uma única instância pode ter um total de 5 Endereços IP e tente se conectar a ele. Se uma conexão falhar, o mecanismo principal aguardará 60 segundos antes de tentar se conectar ao próximo endereço na fila.

Quando uma conexão é estabelecida, segue-se um processo de autenticação e, quando concluído, o Trojan baixa outro módulo responsável pela execução dos comandos.. O malware TAINTEDSCRIBE iniciará a conexão Trojan usando um Certificado TLS FAKE — isso simulará uma conexão confiável que não despertará nenhum conhecimento dos administradores de rede.

O módulo executará um aperto de mão com os servidores controlados por hackers e, em seguida, envie informações do sistema que foi coletado pelo malware. Isso inclui nomes de serviço, opções atuais de configuração do sistema operacional e etc. Também possui um arquivos extensos e manipulação de processos capacidade semelhante ao RAT COPPERHEDGE. Isso inclui a capacidade de fazer upload de arquivos para os hosts, roubar dados do usuário e também modificar arquivos existentes. Execução de comandos, bem como o início e parada de processos também é incorporado.

relacionado: Lázaro Hackers abuso FastCash Esquema contra os bancos em todo o mundo

Trojan PEBBLEDASH: Um Trojan secundário norte-coreano

Este Trojan não é muito diferente de TAINTEDSCRIBE em sua funcionalidade. Inclui praticamente os mesmos recursos. A análise de malware mostra que ele se importa em arquivos DLL usados ​​por aplicativos e APIs. Usando seqüências ofuscadas, o Trojan poderá ocultar sua atividade de rede. Um módulo programado em Python é usado para descriptografar o código principal. Mais uma vez um certificado TLS falso é implementado que ignorará as verificações de rede de segurança. Como resultado, as conexões aparecerão como serviços e empresas conhecidas.

relacionado: Remover Dark Nexus Trojan do seu PC

Malware norte-coreano em ascensão: Mais uma campanha perigosa

O ataque HIDDEN COBRA mostra que grupos de hackers norte-coreanos continuam a lançar campanhas bem organizadas. O que é mais perturbador nesses ataques é que eles usam malware personalizado que são usados ​​especificamente para as campanhas. Por outro lado, os objetivos são cuidadosamente pesquisados ​​para aumentar as chances de infecção.
É possível que infecções futuras sejam lançadas. Cada vez que os norte-coreanos podem utilizar novas estratégias e táticas para invadir as redes. Existem muitas razões pelas quais essas infecções são feitas, Trojans como este são criados principalmente pelos seguintes motivos:

  • sabotar - Como os cavalos de Troia permitem que os hackers assumam o controle dos dispositivos infectados, os hackers podem excluir dados confidenciais e deliberadamente iniciar comandos remotos para funcionar mal..
  • Roubo de dados & Espionagem - Os hackers também podem roubar informações confidenciais do usuário e do sistema. Os cavalos de Troia são configurados com a capacidade de pesquisar os sistemas para os discos rígidos conectados, isso também pode ser estendido aos compartilhamentos de rede disponíveis, o que permite que os dados na rede interna também se tornem acessíveis. Espionar os usuários vítimas incluirá não apenas a coleta de seus dados, mas também monitorando a área de transferência e o movimento do mouse e das teclas e interações.
  • Extorsão - As infecções feitas podem ser usadas para chantagear as vítimas, isso é especialmente perigoso quando grandes corporações estão envolvidas.

Todas essas ações mostram que os administradores de segurança devem tomar as precauções necessárias e proteger suas redes da melhor maneira possível. Mais informações podem ser encontradas na página consultiva oficial.

Avatar

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts - Local na rede Internet

Me siga:
TwitterGoogle Plus

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...