3 nuovi Malware direttamente dalla Corea del Nord

Avatar utente

Topic Author
openresource
Administrator
Administrator
Connesso: No
User theme: Light
Messaggi: 309
Iscritto il: mar gen 28, 2020 9:52 pm
Località: varese

Admin

3 nuovi Malware direttamente dalla Corea del Nord

Messaggio da openresource »

Immagine

Lo scorso 12 Maggio abbiamo potuto “festeggiare” il terzo anniversario dell’arrivo del Ransomware WannaCry, uno dei più devastanti e diffusi a livello globale.
Al tempo il dito era stato puntato contro un gruppo di Criminal Hacker affiliati alla Corea del Nord che adesso, sembrerebbeabbiano nuovamente alzato la testa con 3 nuove varianti di malware inedite.

Chiamate COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, queste varianti del malware sono in grado di fare information gathering a distanza e di estrarre informazioni sensibili dai sistemi vittima, secondo quanto dichiarato dalla Cybersecurity and Infrastructure Security Agency (CISA), dal Federal Bureau of Investigation (FBI) e dal Dipartimento della Difesa americano(DoD).
Trojan di ultima generazione

  • COPPERHEDGE, la prima delle tre nuove varianti, è un Remote Access Tool (RAT) in grado di eseguire comandi arbitrari, ricognizioni di sistema ed estrarre dati. Viene utilizzato da vari APT per colpire i mercati di cripto-valuta e le entità correlate. Sono state identificate sei diverse versioni di COPPERHEDGE.

  • TAINTEDSCRIBE funziona come un impianto backdoor che si maschera come l’utility Narrator di Microsoft per scaricare payload dannosi da un server di comando e controllo (C2), caricare ed eseguire file e persino creare e terminare processi.

  • Infine, PEBBLEDASH, come TAINTEDSCRIBE, è un altro trojan con capacità di scaricare, caricare, cancellare ed eseguire file; abilitare l’accesso CLI di Windows; creare e terminare processi; eseguire l’enumerazione del sistema di destinazione.

Il pregresso di WannaCry
L’infezione del ransomware WannaCry del 2017, conosciuta anche come Wanna Decryptor, ha sfruttato un exploit di Windows SMB, soprannominato EternalBlue, che permetteva a un Criminal hacker di dirottare computer Windows non aggiornati in cambio di pagamenti Bitcoin fino a $600. Da allora l’attacco è stato ricondotto a Hidden Cobra.
Tra il 2017 e il 2018, WannaCry ha infettato 200mila computer in almeno 150 Paesi, causando anche notevoli disagi, tra i molti, anche all’intero servizio sanitario nazionale nel Regno Unito. Fortunatamente, dopo il picco di infezioni, WannaCry, secondo studi di settore, ha registrato un calo del 91% nell’ultimo anno.
Un trend che sfortunatamente non ha visto una diminuzione è quello degli attacchi più mirati (come gli APT) che sono nettamente in aumento. Attacchi dove le aziende e le organizzazioni, ancor più dei singoli, sono nel mirino. Per questo c’è ben più di qualche preoccupazione collegata al riemergere di questi gruppi di Criminal HAcker.
Con il gruppo Lazarus responsabile del furto di oltre 571 milioni di dollari in criptovaluta da siti di online trading, gli attacchi motivati finanziariamente hanno portato il Tesoro statunitense a sanzionare il gruppo e i suoi due off-shoots, Bluenoroff e Andariel, lo scorso settembre.
Poi, all’inizio di marzo, il Dipartimento di Giustizia statunitense (DoJ) ha accusato due cittadini cinesi che lavorano per conto del gruppo Nord Coreano di riciclare oltre 100 milioni di dollari della valuta crittografica rubata usando carte regalo Apple iTunes prepagate.
Il mese scorso il governo statunitense aveva emanato una guida sulla “significativa minaccia informatica” posta dai Criminal hacker nordcoreani spalleggiati dal Governo di Pyongyang alle istituzioni bancarie e finanziarie globali, oltre ad offrire una ricompensa monetaria fino a 5 milioni di dollari per informazioni sulle attività illecite, passate o in corso, che si svolgono al di là del 38º parallelo.



Immagine