СЕВЕРНОКОРЕЙСКИ ХАКЕРИ ИЗПОЛЗВАТ ELECTRICFISH MALWARE, ЗА ДА КРАДАТ ДАННИ

СЕВЕРНОКОРЕЙСКИ ХАКЕРИ ИЗПОЛЗВАТ ELECTRICFISH MALWARE, ЗА ДА КРАДАТ ДАННИ
ELECTRICFISH MALWARE

Федералното бюро за разследване (ФБР) и американското министерство на вътрешната сигурност (DHS) издадоха съвместен доклад с анализ на зловреден софтуер (MAR) за щам на зловреден софтуер, наречен ELECTRICFISH и използван от севернокорейската APT група Lazarus за извличане на данни от жертвите.

Според съветите на MAR AR19-129A, публикувани на уебсайта на US-CERT, зловредният софтуер е бил открит при проследяване на злонамерените действия на севернокорейската хакерска група HIDDEN COBRA (известна също така от експерти по сигурността като Lazarus, Guardians of Peace, ZINC и НИКЕЛА АКАДЕМИЯ).

Отчетът за анализ на злонамерен софтуер MAR-10135536-21 бе издаден „, за да се осигури защитата на мрежата и да се намали експозицията на злонамерената кибернетична активност на правителството на Северна Корея.“

Както е описано по-нататък в консултацията ELECTRICFISH:

„Този MAR включва описания на зловреден софтуер, свързани с HIDDEN COBRA, предложени действия за отговор и препоръчителни техники за смекчаване. Потребителите или администраторите трябва да сигнализират за дейност, свързана със зловредния софтуер, и да докладват за дейността на Агенцията за сигурност на киберсигурността и инфраструктурата (CISA) или на Cyber ​​Watch (CyWatch) на FBI и да дадат на дейността най-висок приоритет за засилено смекчаване.“

Докладът, публикуван на уебсайта US-CERT, идва с подробен анализ на един злонамерен 32-битов изпълним файл, за който е установено, че е заразен със зловредния софтуер на Lazarus ELECTRICFISH.

Зловредният софтуер „изпълнява персонализиран протокол, който позволява трафикът да бъде прехвърлян между IP адрес на източник и целеви IP адрес. Зловредният софтуер непрекъснато се опитва да достигне до източника и системата за обозначаване, което позволява на двете страни да инициират сесия на фуния. . “

Тъй като злонамереният софтуер може да бъде конфигуриран от атакуващите групи от Lazarus „с прокси сървър / порт и потребителско име и парола за прокси“, той дава възможност да се свърже „към система, намираща се вътре в прокси сървъра“ и по този начин да се заобиколи удостоверяването на заразената система.

След заобикаляне на конфигурираните мерки за удостоверяване на компрометираната машина, ELECTRICFISH ще „установи сесия с IP адреса на местоназначението, разположена извън целевата мрежа и IP адреса на източника.“

След като се установи връзка между IP адрес на източник и IP адрес на дестинация, зловредният софтуер на ELECTRICFISH може да насочва интернет трафика между двете машини, което позволява на злонамерените участници да насочват информацията, събрана от компрометирани компютри, до сървърите, които контролират.

Докладите за анализ на зловреден софтуер се издават от DHS чрез US-CERT, за да „предоставят на организациите по-подробен анализ на зловреден софтуер, придобит чрез ръчно инженерство“.

Пълен анализ на пробата ELECTRICFISH, както и пълен списък на МОК са налични в рамките на консултациите AR19-100A.

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в: