11 мая 2019

Северокорейские хакеры используют ELECTRICFISH-туннели для эксфильтрации данных

Министерство внутренней безопасности США (DHS) и ФБР выпустили еще одно совместное предупреждение о новом вредоносном ПО, которое активная северокорейская хакерская группа APT Hidden Cobra активно использует в дикой природе.
Считается, что Hidden Cobra, также известная как Lazarus Group и Guardians of Peace, поддержана правительством Северной Кореи и, как известно, проводит кибератаки против медиа-организаций, авиакосмической, финансовой и критической инфраструктурных отраслей по всему миру.



Хакерская группа была также связана с угрозой вымогателей WannaCry 2017 года, взломом Sony Pictures 2014 года и атакой SWIFT Banking в 2016 году.

Теперь DHS и ФБР обнаружили новый вариант вредоносного ПО под названием ELECTRICFISH, который хакеры Hidden Cobra используют для секретного туннелирования трафика из скомпрометированных компьютерных систем.

Вредоносная программа реализует специальный протокол, настроенный с помощью прокси-сервера / порта и имени пользователя и пароля прокси-сервера, позволяя хакерам обойти требуемую аутентификацию скомпрометированной системы для доступа за пределы сети.

Вредоносная программа ElectricFish - это утилита командной строки, основной целью которой является быстрое распределение трафика между двумя IP-адресами.

Вредоносная программа позволяет хакерам Hidden Cobra настраивать прокси-сервер / порт и имя пользователя и пароль прокси-сервера, что позволяет подключаться к системе, расположенной внутри прокси-сервера, что позволяет злоумышленникам обходить необходимую аутентификацию зараженной системы.

«Он попытается установить сеансы TCP с IP-адресом источника и IP-адресом назначения. Если установлено соединение с IP-адресами источника и назначения, эта вредоносная утилита реализует собственный протокол, который позволит трафику быстро и эффективно «Направлено между двумя машинами», - говорится в предупреждении.

«При необходимости вредоносная программа может проходить проверку подлинности с помощью прокси-сервера, чтобы иметь возможность достичь IP-адреса назначения. Настроенный прокси-сервер не требуется для этой утилиты».

Как только ElectricFish аутентифицируется с настроенным прокси-сервером, он немедленно пытается установить сеанс с IP-адресом назначения, расположенным вне сети жертвы и IP-адреса источника. Атака будет использовать командные запросы для указания источника и назначения для туннелирования трафика.

Несмотря на то, что на веб-сайте US-CERT не указывается, какие организации США уже заражены этим новым вредоносным ПО, если да, то в совместном отчете по анализу вредоносного ПО (MAR) говорится, что предупреждение было выдано «для обеспечения защиты сети и снижения подверженность северокорейскому правительству злонамеренной кибер-активности ».

Это не первый раз, когда DHS и ФБР издают совместное предупреждение, чтобы предупредить пользователей и организации о вредоносной программе Hidden Cobra.

В конце прошлого года американские департаменты предупредили о вредоносном ПО FastCash, которое Hidden Cobra использует с 2016 года для взлома серверов приложений коммутатора платежей в банках Африки и Азии в попытке обналичить банковские банкоматы.

Чуть менее года назад DHS и ФБР также опубликовали рекомендации, предупреждающие пользователей о двух различных вредоносных программах - полнофункциональном трояне удаленного доступа (RAT), известном как Joanap, и черве Server Message Block (SMB) под названием Brambul, - связанным с Hidden. Cobra.

В 2017 году US-CERT также выпустил предупреждение с подробным описанием вредоносного ПО Hidden Cobra под названием Delta Charlie - инструмента DDoS, который, по их мнению, используют северокорейские хакеры для запуска распределенных атак типа «отказ в обслуживании» против своих целей.

Автор 
Опубликовано в Новости
Onion

Главред Darkmore.ru

Добавить комментарий


Защитный код
Обновить