US-CERT опубликовал на своем официальном сайте отчет, подготовленный совместно со специалистами из Министерства национальной безопасности США и ФБР. В документе правоохранители предупреждают о малвари DeltaCharlie, которая используется северокорейскими «правительственными хакерами» для создания ботнета и проведения DDoS-атак.

За созданием малвари DeltaCharlie стоит хакерская группировка, которую спецслужбы называют Hidden Cobra — это одно из имен группы более известной под названиями Lazarus или Guardians of Peace. Именно этой группировке эксперты приписывают ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Lazarus подозревают в атаках на банки Сеула, СМИ и вооруженные силы Южной Кореи. Также в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и лишь чудом не сумели украсть почти миллиард.

Стоит сказать, что сама по себе малварь DeltaCharlie не нова, специалисты обнаруживали ее еще в 2016 году, в ходе проведения операции «Блокбастер». По данным экспертов, малварь использовалась северокорейским правительством для проведения DDoS-атак, задействующих протоколы Domain Name System (DNS), Network Time Protocol (NTP) и Character Generation Protocol (CHARGEN). Также известны вариации DeltaAlfa и DeltaBravo.

Теперь ФБР и Министерству национальной безопасности удалось собрать списки IP-адресов, которые принадлежат зараженным устройствам, либо как-то связаны с ботами DeltaCharlie ( .csv или .stix). Также в отчете специалисты обнародовали хеши файлов, сигнатуры и правила YARA, и настоятельно рекомендовали администраторам изучить и применить эту информацию для защиты сетей своих организаций.

Кроме того, исследователи перечислили самые «излюбленные» уязвимости Lazarus, которые хакерская группа эксплуатирует чаще всего:

  • CVE-2015-6585: Hangul Word Processor;
  • CVE-2015-8651: Adobe Flash Player 18.0.0.324 иx;
  • CVE-2016-0034: Microsoft Silverlight 5.1.41212.0;
  • CVE-2016-1019: Adobe Flash Player 21.0.0.197;
  • CVE-2016-4117: Adobe Flash Player0.0.226.



5 комментариев

  1. Il

    16.06.2017 at 11:07

    Три из пяти принадлежат флешу. Как же у них получается делать такое решето?

  2. e6a3dec

    18.06.2017 at 11:23

    Il
    ты доебал везде коментить )

  3. Skybad

    22.06.2017 at 14:21

Оставить мнение