Sydkorea rapporter sin første cryptojacking sag
Fire unge cryptojackers vil stå retssag for at inficere over 6.000 Stk.
Department of Homeland Security (DHS) og Federal Bureau of Investigation (FBI) har udgivet en fælles security advisory advarsel af en ny stamme af malware, der anvendes i nordkoreanske cyberangreb.
Døbt Electricfish, malware blev afsløret, mens de afdelinger, der var at spore aktiviteter Skjulte Cobra, en trussel gruppe menes at være state-sponsoreret og støttet af den nordkoreanske regering.
Også kendt som Lazarus gruppe, Skjulte Cobra er blevet forbundet til en række af angreb mod de finansielle institutioner, kritiske industrielle spillere, og mål, der er valgt til værdifuld intellektuel ejendom over hele verden.
Beskrivelse af Electricfish er baseret på en ondsindet 32-bit Windows eksekverbare. Efter reverse engineering sample, malware blev fundet at indeholde en custom-protokollen, som tillader trafik til uddeles mellem kilde-og destinations-IP-adresser.
Electricfish er derfor i stand til at flytte trafikken gennem proxies af angriberne til at nå uden for et offer netværk.
“Malware kan være konfigureret med en proxy-server/havn og proxy brugernavn og password,” det rådgivende læser. “Denne funktion giver mulighed for tilslutning til et system, der sidder inde for en proxy-server, der giver skuespilleren til at omgå kompromitteret system kræves godkendelse for at nå uden for nettet.”
Kommando-linje værktøj forsøg på at oprette TCP-sessioner med kilde-IP-adresse og destination IP. Hvis en forbindelse forsøg er en succes, utility vil lancere sin tilpasset protokol, der fører til hurtig tryk af trafik mellem to maskiner.
CNET: Du har slettet din Alexa optagelser, men teksten registreringer, er der stadig
“Overskriften på den oprindelige godkendelse pakke, der sendes til både kilde og destination systemer, vil være statisk, bortset fra to tilfældige bytes,” det rådgivende siger. “Alt i denne 34-byte header er statisk, undtagen for bytes 0X2B6E, som vil ændre sig i løbet af hver forbindelse forsøg.”
Sådan et værktøj kan bruges af trussel aktører til at skjulte tragt oplysninger, der er stjålet fra en offerets maskine, samt at styrke forsøg på at forblive under radaren, og for at holde tyveri uden at blive opdaget.
DHS og FBI sagde bulletinen blev udgivet “for at aktivere network defense og reducere eksponeringen for nordkoreanske regering ondsindede cyber-aktivitet.”
TechRepublic: Cybersecurity burnout: 10 mest stressende dele af jobbet
Dette er en af mange de seneste bulletiner vedrørende påståede nordkoreanske cyberattackers. I April, den AMERIKANSKE regering, der sendes ud med en advarsel om Hoplight, en anden stamme, af malware, der anvendes af Skjulte Cobra.
Hoplight er en bagdør, der medfører tab af data fra et offer maskine og sender disse oplysninger til at en hacker ‘ s kommando-og-kontrol (C2) – server. Malware er også i stand til at ændre indstillinger i registreringsdatabasen, både at skabe og at dræbe processer, og downloade filer, blandt andre funktioner.
Se også: Hackere angriber Sammenløbet Servere, kapre magten til cryptocurrency minedrift
Den AMERIKANSKE regering varsler for Skjulte Cobra er blevet udstedt siden 2017, med fremkomsten af den globale WannaCry ransomware udbrud, som mentes at være af nordkoreanske hackere.
En liste af Indikatorer for Kompromis (IOC) for Electricfish kan downloades her.
Tidligere og relaterede dækning
DeepDotWeb Dark web ressource dør med FBI beslaglæggelse
OneCoin ‘CryptoQueen’ sagsøgt over påståede $4bn cryptocurrency Ponzi ordningen
Amazon sælger slog med et “stort” svig, finansielle tyveri
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre