Zuid-Korea verslagen zijn eerste cryptojacking geval
Vier jonge cryptojackers zal terecht te staan voor het infecteren van meer dan 6.000 Stuks.
Het Department of Homeland Security (DHS) en het Federal Bureau of Investigation (FBI) heeft een joint security advisory waarschuwing van een nieuwe vorm van malware wordt gebruikt in de Noord-koreaanse cyberaanvallen.
Nagesynchroniseerde Electricfish, de malware werd ontdekt terwijl de afdelingen waren het bijhouden van de activiteiten van Verborgen Cobra, een bedreiging groep geloofd te worden gesponsord door de staat en wordt ondersteund door de Noord-koreaanse regering.
Ook wel bekend als de Lazarus-groep, Verborgen Cobra is verbonden aan een verscheidenheid van aanvallen op de financiële instellingen, belangrijke industriële spelers, en doelen gekozen voor waardevolle intellectuele eigendom wereldwijd.
De beschrijving van Electricfish is gebaseerd op een kwaadaardige 32-bits Windows-executable. Na de reverse engineering van het monster, de malware bleek te bevatten een aangepaste protocol die het mogelijk maakt verkeer te worden gekanaliseerd tussen de bron-en doel-IP-adressen.
Electricfish is daarom in staat om verschuiving van het verkeer door het gebruik van volmachten door de aanvallers te bereiken buiten van een slachtoffer netwerk.
“De malware kan worden geconfigureerd met een proxy server/de haven en de proxy-gebruikersnaam en wachtwoord,” het raadgevend leest. “Met deze functie kunt verbinding met een systeem zitten aan de binnenkant van een proxy-server, die het mogelijk maakt de acteur te omzeilen van het gecompromitteerde systeem nodig verificatie te bereiken buiten het netwerk.”
De command-line utility pogingen ondernomen om TCP-sessies met het bron-IP-adres en de bestemming IP. Als de verbinding succesvol is, wordt het hulpprogramma start het aangepaste protocol, wat leidt tot de snelle druk van het verkeer tussen twee machines.
CNET: U hebt verwijderd van uw Alexa stem opnamen, maar de tekst records zijn er nog steeds
“De kop van de eerste verificatie pakket verzonden naar zowel de bron en bestemming systemen, statische, met uitzondering van twee willekeurige bytes,” het raadgevend zegt. “Alles in deze 34-byte header is statisch, behalve voor de bytes 0X2B6E, die veranderen bij elke verbindingspoging.”
Een dergelijke tool kan gebruikt worden door bedreiging acteurs stiekem trechter informatie gestolen van een slachtoffer van de machine, alsmede voor het versterken van de pogingen te blijven onder de radar te houden, door de diefstal onopgemerkt.
De DHS en de FBI zei dat het advies werd gepubliceerd “voor het inschakelen van het netwerk defensie en het verminderen van de blootstelling aan de Noord-koreaanse regering schadelijke cyber-activiteit.”
TechRepublic: Cybersecurity burnout: 10 van meest stressvolle delen van de baan
Dit is een van de vele recente adviezen met betrekking tot vermeende Noord-koreaanse cyberattackers. In April is de AMERIKAANSE regering stuurde een waarschuwing over de Hoplight, een ander soort van malware gebruikt door Verborgen Cobra.
Hoplight is een backdoor die sifons gegevens van een slachtoffer van de machine en stuurt deze informatie naar een aanvaller command-and-control (C2) – server. De malware is in staat om ook van het wijzigen van het register instellingen, zowel het maken en het stoppen van processen, bestanden te downloaden, onder andere functies.
Zie ook: Hackers-aanval Samenvloeiing Servers, kapen macht voor cryptocurrency mijnbouw
AMERIKAANSE regering adviezen voor Verborgen Cobra zijn uitgegeven sinds 2017 met de opkomst van de global WannaCry ransomware uitbraak, waarvan werd aangenomen dat het werk van de Noord-koreaanse hackers.
Een lijst van Indicatoren van het Compromis (IOC) voor Electricfish kan hier gedownload worden.
Vorige en aanverwante dekking
DeepDotWeb Donkere web resource sterft met de FBI beslag
OneCoin ‘CryptoQueen’ voor de rechter gedaagd over vermeende $4 miljard cryptocurrency Ponzi scheme
Amazon verkopers geslagen met ‘uitgebreide’ fraude, financiële diefstal
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters