Следующая новость
Предыдущая новость

В честь годовщины атак WannaCry власти США рассказали о новой северокорейской малвари

15.05.2020 13:02
В честь годовщины атак WannaCry власти США рассказали о новой северокорейской малвари

Рекомендуем почитать:

Xakep #252. Чемоданчик хакера

  • Содержание выпуска
  • Подписка на «Хакер»

Прошло уже три года после эпидемии шифровальщика WannaCry, из-за которой пострадали компании и организации по всему миру, а ландшафт ИБ навсегда изменился. Напомню, что исследователи и власти единогласно возложили ответственность за произошедшее на северокорейских хакеров, а правительство США даже предъявило заочные обвинения вполне конкретному подозреваемому.

На этой неделе, чтобы отметить годовщину, специалисты ФБР, Министерства обороны США и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) раскрыли информацию о трех новых вредоносах, авторство которых приписывают северокорейской хак-группе Lazarus, также известной как Hidden Cobra. О новых вредоносах не только рассказали в докладе, но и загрузили образцы на VirusTotal.

Напомню, что власти США публикуют информацию о северокорейский малвари с 2017 года и к настоящему моменту рассказали уже 28 различных угрозах. Идея этой инициативны заключается в том, чтобы сделать информацию о малвари публичной и доступной. Тогда государственный и частный секторы смогут без труда обнаруживать и блокировать атаки с использованием описанных вредоносов, а это усложнит жизнь северокорейским хакерам, вынуждая их постоянно работать над новыми версиями своих инструментов, эксплоитов и малвари.

На этой неделе огласке предали информацию о следующих угрозах:

COPPERHEDGE — троян удаленного доступа (RAT), способный запускать произвольные команды, выполнять разведку и похищать данные. Были обнаружены шесть разных вариантов.

TAINTEDSCRIBE — вредоносный имплант (троян), который устанавливается на взломанные системы для получения и выполнения команд злоумышленников. Использует FakeTLS для аутентификации сессий, а для шифрования применяет алгоритм Linear Feedback Shift Register (LFSR). Основной исполняемый файл маскируется под Microsoft's Narrator.

PEBBLEDASH — еще один имплант, который имеет возможность загружать, выгружать, удалять и выполнять файлы; включать доступ Windows CLI; создавать и завершать процессы, и так далее.

Эксперт «Лаборатории Касперского» Костин Райю пишет, что все три разновидности вредоносного ПО действительно связаны с известными северокорейскими хак-группами. По его словам, код опубликованных образцов схож с кодом вредоноса Manuscrypt, который был обнаружен «Лабораторией Касперского» в 2017 году и использовался для атак на криптовалютные биржи.

Code similarity reports from the Kaspersky Malware Attribution Engine for the newly-uploaded samples from @CNMF_VirusAlert 👉 pic.twitter.com/7FpBye3dSn

— Costin Raiu (@craiu) May 12, 2020

Источник

Последние новости