Прошло уже три года после эпидемии шифровальщика WannaCry, из-за которой пострадали компании и организации по всему миру, а ландшафт ИБ навсегда изменился. Напомню, что исследователи и власти единогласно возложили ответственность за произошедшее на северокорейских хакеров, а правительство США даже предъявило заочные обвинения вполне конкретному подозреваемому.
На этой неделе, чтобы отметить годовщину, специалисты ФБР, Министерства обороны США и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) раскрыли информацию о трех новых вредоносах, авторство которых приписывают северокорейской хак-группе Lazarus, также известной как Hidden Cobra. О новых вредоносах не только рассказали в докладе, но и загрузили образцы на VirusTotal.
Напомню, что власти США публикуют информацию о северокорейский малвари с 2017 года и к настоящему моменту рассказали уже 28 различных угрозах. Идея этой инициативны заключается в том, чтобы сделать информацию о малвари публичной и доступной. Тогда государственный и частный секторы смогут без труда обнаруживать и блокировать атаки с использованием описанных вредоносов, а это усложнит жизнь северокорейским хакерам, вынуждая их постоянно работать над новыми версиями своих инструментов, эксплоитов и малвари.
На этой неделе огласке предали информацию о следующих угрозах:
COPPERHEDGE — троян удаленного доступа (RAT), способный запускать произвольные команды, выполнять разведку и похищать данные. Были обнаружены шесть разных вариантов.
TAINTEDSCRIBE — вредоносный имплант (троян), который устанавливается на взломанные системы для получения и выполнения команд злоумышленников. Использует FakeTLS для аутентификации сессий, а для шифрования применяет алгоритм Linear Feedback Shift Register (LFSR). Основной исполняемый файл маскируется под Microsoft's Narrator.
PEBBLEDASH — еще один имплант, который имеет возможность загружать, выгружать, удалять и выполнять файлы; включать доступ Windows CLI; создавать и завершать процессы, и так далее.
Эксперт «Лаборатории Касперского» Костин Райю пишет, что все три разновидности вредоносного ПО действительно связаны с известными северокорейскими хак-группами. По его словам, код опубликованных образцов схож с кодом вредоноса Manuscrypt, который был обнаружен «Лабораторией Касперского» в 2017 году и использовался для атак на криптовалютные биржи.
Code similarity reports from the Kaspersky Malware Attribution Engine for the newly-uploaded samples from @CNMF_VirusAlert ? pic.twitter.com/7FpBye3dSn
— Costin Raiu (@craiu) May 12, 2020