Прошло уже три года после эпидемии шифровальщика WannaCry, из-за которой пострадали компании и организации по всему миру, а ландшафт ИБ навсегда изменился. Напомню, что исследователи и власти единогласно возложили ответственность за произошедшее на северокорейских хакеров, а правительство США даже предъявило заочные обвинения вполне конкретному подозреваемому.

На этой неделе, чтобы отметить годовщину, специалисты ФБР, Министерства обороны США и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) раскрыли информацию о трех новых вредоносах, авторство которых приписывают северокорейской хак-группе Lazarus, также известной как Hidden Cobra. О новых вредоносах не только рассказали в докладе, но и загрузили образцы на VirusTotal.

Напомню, что власти США публикуют информацию о северокорейский малвари с 2017 года и к настоящему моменту рассказали уже 28 различных угрозах. Идея этой инициативны заключается в том, чтобы сделать информацию о малвари публичной и доступной. Тогда государственный и частный секторы смогут без труда обнаруживать и блокировать атаки с использованием описанных вредоносов, а это усложнит жизнь северокорейским хакерам, вынуждая их постоянно работать над новыми версиями своих инструментов, эксплоитов и малвари.

На этой неделе огласке предали информацию о следующих угрозах:

COPPERHEDGE — троян удаленного доступа (RAT), способный запускать произвольные команды, выполнять разведку и похищать данные. Были обнаружены шесть разных вариантов.

TAINTEDSCRIBE — вредоносный имплант (троян), который устанавливается на взломанные системы для получения и выполнения команд злоумышленников. Использует FakeTLS для аутентификации сессий, а для шифрования применяет алгоритм Linear Feedback Shift Register (LFSR). Основной исполняемый файл маскируется под Microsoft's Narrator.

PEBBLEDASH — еще один имплант, который имеет возможность загружать, выгружать, удалять и выполнять файлы; включать доступ Windows CLI; создавать и завершать процессы, и так далее.

Эксперт «Лаборатории Касперского» Костин Райю пишет, что все три разновидности вредоносного ПО действительно связаны с известными северокорейскими хак-группами. По его словам, код опубликованных образцов схож с кодом вредоноса Manuscrypt, который был обнаружен «Лабораторией Касперского» в 2017 году и использовался для атак на криптовалютные биржи.

Оставить мнение