×
northkoreahoplight.png
Den AMERIKANSKA regeringen har lagt ut en säkerhetsvarning i dag om en ny skadlig kod stam som används av nordkoreanska hackare, som den AMERIKANSKA regeringen har utsett HOPLIGHT.
Rapporten, författad av malware analytiker från Department of Homeland Security (DHS) och Federal Bureau of Investigation (FBI), attribut HOPLIGHT skadlig kod till DOLDA COBRA, att den AMERIKANSKA regeringen är en beteckning för nordkoreas största regeringen-stödda hacka gruppen, också som avses i nyhetsartiklar och it-säkerhet rapporter som Lazarus-Gruppen.
Säkerhet varning varnar för farliga backdoor trojan
Enligt den gemensamma DHS-FBI alert, HOPLIGHT verkar vara en mycket kraftfull backdoor trojan.
Infekterade system, skadlig programvara som samlar in information om målet är enhet och skickar data till en avlägsen server. Det kan också ta emot kommandon från sin command and control (C&C) server och utföra olika åtgärder på infekterade värdar.
Enligt DHS-FBI-rapport, HOPLIGHT kan:
Läsa, skriva och flytta filesEnumerate system drivesCreate och avsluta processesInject koden till att köra processesCreate, start och stopp servicesModify registret settingsConnect till en avlägsen hostUpload och ladda ner filer
Det skadliga programmet använder också en inbyggd proxy ansökan för att dölja sin kommunikation med remote command-and-control (C&C) server.
“De fullmakter har förmågan att generera falska TLS handshake sessioner med giltig offentliga SSL-certifikat, dölja nätverksanslutningar med avlägsna skadliga aktörer,” sade DHS och FBI analytiker.
HOPLIGHT verkar vara ny skadlig kod
Rapporten innehåller digitala signaturer för nio filer som är associerade med skadlig kod. Ingen av de filer som tidigare var tillgängliga på VirusTotal.
“De varianter av HOPLIGHT malware hänföras till nordkoreanska skadlig it-verksamhet är ny, har det inte blivit offentligt ut innan idag,” en tjänsteman för DHS’ It-säkerhet och Infrastruktur Security Agency (CISA) berättade ZDNet.
“HOPLIGHT har upptäckts i bruk globalt i ett brett utbud av DOLDA COBRA skadlig verksamhet, som inte är specifika för en viss kritisk infrastruktur sektorn,” den officiella läggas.
Dagens HOPLIGHT rapport är DHS och FBI: s sextonde rapporten på nordkoreanska malware. Byråerna tidigare utgivna rapporter om WannaCry, DeltaCharlie (två rapporter), Volgmer, FALLCHILL, BANKSHOT, BADCALL, HARDRAIN, SHARPKNOT, en namnlös remtoe tillgång trojaner/maskar, Joanap och Brambul, TYPEFRAME, KEYMARBLE, och FASTCash (två rapporter).
Och alla dessa rapporter verkar ha lönat sig, i det långa loppet.
“I allmänhet, när CISA släpper varningar om statligt sponsrad verksamhet vi får några rapporter från infekterade offer,” CISA officiella berättade ZDNet. “CISA rekommenderar offer som följer skadlig aktivitet rapportera det till NCCIC eller FBI Cyber Titta på.”
Alla DHS’ tidigare rapporter finns tillgängliga på denna sida, inklusive en på HOPLIGHT, som också kommer med indikatorer av kompromiss som organisationer kan använda för att söka sina nät för spår av HOPLIGHT.
I januari 2019, JUSTITIEDEPARTEMENTET, FBI och US Air Force flyttade in i för att ta ner nordkoreas Joanap botnät.
Artikeln uppdaterad med kommentar från CISA officiella.
Relaterade skadliga program och it-brottslighet täckning:
It-relaterad brottslighet marknad och sälja full digitala fingeravtryck av över 60 000 usersTriton hackare tillbaka med nya, hemliga industriell attackReveton ransomware distributör dömdes till sex års fängelse i UKSecurity forskare upptäcka iOS-versionen av Exodus Android spywareCybercrime grupp FIN6 utvecklas från POS skadlig kod till ransomwareHacker gruppen har varit kapning av DNS trafik på D-Link routrar för tre månader Hur Fn hjälper till att bekämpa den globala it-relaterad brottslighet TechRepublicApple bort populär app som i hemlighet stjäla din webbläsare historia CNET
Relaterade Ämnen:
Regeringen – OSS
Säkerhet-TV
Hantering Av Data
CXO
Datacenter