Sydkorea rapporterar sina första cryptojacking fall
Fyra unga cryptojackers kommer att stå inför rätta för att ha smittat över 6000 St.
Department of Homeland Security (DHS) och Federal Bureau of Investigation (FBI) har släppt en joint security advisory varning för en ny stam av skadlig kod som används i Nord-koreanska it-angrepp.
Dubbade Electricfish, malware upptäckt medan avdelningarna var att spåra aktiviteter av Dolda Cobra, ett hot grupp som tros vara i statlig regi och backas upp av den nordkoreanska regeringen.
Även känd som Lazarus grupp, Dolda Cobra har varit ansluten till en rad attacker mot finansiella institutioner, kritiska industriella aktörer och mål som valts för värdefulla immateriella rättigheter i hela världen.
Beskrivning av Electricfish är baserad på en skadlig för 32-bitars Windows körbar. Efter reverse engineering provet, malware befanns innehålla ett eget protokoll som tillåter trafik till kanaliseras mellan källa och destination IP-adresser.
Electricfish är därför möjlighet att flytta trafiken genom proxies av angriparna att nå utanför ett offer nätverk.
“Det skadliga programmet kan konfigureras med en proxy-server/hamnen och proxy användarnamn och lösenord,” den rådgivande läser. “Den här funktionen möjliggör anslutning till ett system som sitter på insidan av en proxy-server, vilket gör att skådespelaren att kringgå äventyras systemet krävs autentisering för att nå utanför nätet.”
De kommandoradsverktyg försök att upprätta TCP-sessioner med käll-IP-adress och destination IP. Om en anslutning är framgångsrik, kommer verktyget att lansera sitt eget protokoll, som leder till snabb driva trafik mellan två maskiner.
CNET: Du bort din Alexa röstinspelningar, men texten poster finns kvar
“Rubriken för den ursprungliga autentisering, som skickas till både källa och destination system, kommer att vara statiska, med undantag av två slumpmässiga byte,” den rådgivande säger. “Allt inom denna 34-byte header är statisk, med undantag för byte 0X2B6E, som kommer att förändras under varje anslutningsförsök.”
Ett sådant verktyg kan användas av hot aktörer för att i hemlighet tratt information som stulits från offrets maskin, samt att stärka försök att förbli under radarn, och för att hålla stöld oupptäckt.
DHS och FBI sade att den rådgivande publicerades “för att aktivera nätverk försvar och minska exponeringen mot nordkoreanska regeringen skadlig it-verksamhet.”
TechRepublic: Cybersäkerhet utbrändhet: 10 mest stressande delar av jobbet
Detta är en av många nya bulletiner som rör påstådda nordkoreanska cyberattackers. I April, den AMERIKANSKA regeringen skickat ut en varning om Hoplight, en annan stam av skadlig kod som används av Dolda Cobra.
Hoplight är en bakdörr som suger data från en offrets dator och skickar denna information till angriparens kommando-och-kontroll (C2) server. Malware är också i stånd att ändra inställningar i registret, både att skapa och att döda processer, och ladda ner filer, bland andra funktioner.
Se även: hackerattacker Sammanflödet Servrar, kapa makt för cryptocurrency mining
AMERIKANSKA regeringens råd för Dolda Cobra har utfärdats sedan 2017 med framväxten av den globala WannaCry ransomware utbrott, vilket ansågs vara ett verk av nordkoreanska hackare.
En lista över Indikatorer som en Kompromiss (IOK) för Electricfish kan laddas ner här.
Tidigare och relaterade täckning
DeepDotWeb Mörka webbresurs dör med FBI beslag
OneCoin ‘CryptoQueen’ stämde över påstådda $4 miljarder cryptocurrency pyramidspel
Amazon säljare slog till med ett ” omfattande bedrägerier, ekonomisk stöld
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter