Северокорейские хакеры используют в своих атаках новый троян

Ирина Фоменко

Пресловутые северокорейские хакеры используют в своих атаках новый троян, предупредили в среду Министерство внутренней безопасности США и Федеральное бюро расследований (ФБР). Об этом сообщает Security Week.

Считается, что Lazarus, BlueNoroff и Hidden Cobra поддерживаются правительством Северной Кореи. Группа организовала ряд громких атак, в том числе ограбление центрального банка Бангладеш и нападения на многочисленные финансовые организации.

За последние несколько лет США связали множество инструментов с деятельностью Hidden Cobra, включая Typeframe, Sharpknot, Hardrain, Badcall, Bankshot, Fallchil, Volgmer, Delta Charlie, Joanap и Brambul.

В отчете по анализу вредоносных программ (MAR), представленном на этой неделе, Министерство и ФБР подробно описывают HOPLIGHT, новый троян, используемый Hidden Cobra. Бэкдор может собирать информацию с зараженных систем и выполнять различные действия в соответствии с инструкциями командно-контрольного сервера (C&C).

111.jpg (56 KB)

Троян состоит из девяти файлов, 7 из них – прокси-приложения, предназначенные для маскировки трафика между вредоносным ПО и удаленными операторами. Прокси-серверы могут генерировать фейковые подтверждения установления связи TLS, используя действующие общедоступные сертификаты SSL, чтобы скрыть сетевые соединения с вредоносными серверами.

"Один файл содержит общедоступный сертификат SSL, и полезная нагрузка файла, по-видимому, кодируется паролем или ключом. Оставшийся файл не содержит ни одного из общедоступных сертификатов SSL, но пытается выполнить исходящие подключения и удаляет четыре файла. Удаленные файлы в основном содержат IP-адреса и сертификаты SSL", - говорится в отчете.

Троян HOPLIGHT может считывать и записывать файлы, подсчитывать системные диски, создавать и завершать процессы, внедрять код в запущенные процессы, изменять параметры реестра, подключаться к удаленному хосту для загрузки и скачивания файлов, а также создавать, запускать и останавливать службы.

Hidden Cobra известна своей нацеленностью на финансовую выгоду, которая отделяет ее от других спонсируемых государством хакерских групп, и считается самой серьезной угрозой для банков. В прошлом году исследователям безопасности удалось связать большинство северокорейских вредоносных программ с этой организацией через повторное использование кода. Некоторые из кампаний Hidden Cobra - Operation Blockbuster, Dark Seoul и Operation Troy, хакеров также обвиняют в атаке WannaCry.