DHS 사이버 보안
및 CISA (Infrastructure Security Agency) 및 연방국
조사에서 XNUMX 가지 새로운 또는 업그레이드 된 맬웨어 변종에 대한 보고서를 발표했습니다
북한이 사용하고 있습니다.

악성 코드
포함 된 유형에는 Bistromath, Slickshoes, Crowdedflounder, Hotcroissant,
Artfulpie, 뷔페 및 Hoplight. Hoplight는 이전에 기록 된 맬웨어입니다
북한 사이버 스파이 그룹에 의해 사용될 것으로 생각 숨겨진 코브라. 모든 새로운
CISA에 따르면 Hidden Cobra는 맬웨어 유형도 사용합니다.

점묘,
Hidden Cobra에서도 사용되며 기본적으로 모든 기능을 갖춘 RAT 임플란트 실행 파일입니다.
여러 버전의 CAgent11 GUI 임플란트 컨트롤러 / 빌더. 그것
간단한 XOR 네트워크 인코딩을 수행하고 시스템 조사, 파일 수행
업로드 / 다운로드, 프로세스 및 명령 실행, 오디오 마이크 청취,
클립 보드와 화면을보십시오. GUI 컨트롤러는
임플란트와 함께 새로운 임플란트를 동적으로 구축하는 옵션
맞춤형 옵션.

Slickshoes는
파일을 해독하고 삭제하는 Themida-packed dropper
Themida로 포장 된 비콘 인“C : WindowsWebtaskenc.exe”
끼워 넣다. 이 비콘은 삭제 된 파일을 실행하거나 예약하지 않습니다.
맬웨어를 실행하는 작업 대신 고유 한 네트워크 인코딩을 사용합니다.
시스템 조사, 파일 업로드 / 다운로드, 프로세스 및
명령 실행 및 화면 캡처.

붐비는 under 치
RAT의 압축을 풀고 실행할 수있는 Themida로 압축 된 32 비트 Windows 실행 파일입니다.
메모리의 이진. 다른 기능으로는 프록시로들을 수있는 기능이 있습니다.
명령을 포함하거나 원격 서버에 연결할 수있는 들어오는 연결
명령을받습니다.

핫 크로와상
맞춤형 XOR 네트워크를 수행하는 또 다른 모든 기능을 갖춘 비 커닝 임플란트
인코딩 및 시스템 조사, 파일 업로드 및 다운로드, 프로세스 및
명령 실행 및 화면 캡처를 수행합니다.

Artfulpie는
데이터를 다운로드하고 메모리 내로드 및 실행을 처리하는 임플란트
하드 코드 된 URL의 DLL

뷔페는
세 번째 완전한 기능성 임플란트 세션에 PolarSSL을 사용합니다
인증을 사용하지만 네트워크를 사용하여 FakeTLS 체계로 전환하여
수정 된 RC4 알고리즘. 이 악성 코드는 다운로드, 업로드,
파일 삭제 및 실행 Windows CLI 액세스를 활성화하십시오. 작성 및 종료
프로세스; 대상 시스템 열거를 수행하십시오.