Кибербезопасность DHS
и Агентство по безопасности инфраструктуры (CISA) и Федеральное бюро
Расследование выпустило отчет о шести новых или обновленных вариантах вредоносного ПО.
используется Северной Кореей.
Вредоносная программа
включены следующие типы: Bistromath, Slickshoes, Crowdedflounder, Hotcroissant,
Artfulpie, Buffetline и Hoplight. Hoplight — ранее зарегистрированная вредоносная программа
предположительно используется северокорейской группой кибершпионажа. Скрытая кобра. Все новое
По данным CISA, типы вредоносных программ также используются Hidden Cobra.
Бистромат,
также используется Hidden Cobra, в основном представляет собой полнофункциональный исполняемый файл RAT-имплантата.
и несколько версий контроллера/конструктора имплантатов с графическим интерфейсом CAgent11. Это
выполняет простое сетевое кодирование XOR и может проводить системные опросы, файлы
загрузка/выгрузка, обработка и выполнение команд, можно слушать аудиомикрофон,
просмотреть буфер обмена и экран. Контроллеры GUI позволяют взаимодействовать с
имплантата, а также возможность динамического создания новых имплантатов с
индивидуальные параметры.
Slickshoes это
дроппер, упакованный Themida, который декодирует и сбрасывает файл
«C:WindowsWebtaskenc.exe», который представляет собой маячок, упакованный Themida.
имплантат. Этот маяк не выполняет сброшенный файл и не планирует
задачи для запуска вредоносного ПО, вместо этого он использует местную сетевую кодировку
алгоритм проведения системных опросов, загрузки/выгрузки файлов, обработки и
выполнение команд и снимки экрана.
Переполненная камбала
представляет собой упакованный Themida 32-разрядный исполняемый файл Windows, который может распаковывать и запускать RAT
двоичный файл в памяти. Другие функции включают возможность прослушивания в качестве прокси для
входящие соединения, содержащие команды или могут подключаться к удаленному серверу для
получать команды.
Горячий круассан
— это еще один полнофункциональный маяковый имплантат, который выполняет пользовательскую сеть XOR.
кодирование и может проводить системные опросы, загружать и скачивать файлы, обрабатывать и
выполнение команд и выполнение снимков экрана.
Артфулпи это
имплантат, который загружает данные и обрабатывает загрузку в памяти и выполнение
DLL из жестко заданного URL.
Шведский стол
третий полнофункциональный имплантат в списке. Он использует PolarSSL для сеанса
аутентификации, но переключается на схему FakeTLS для сетевого шифрования с использованием
модифицированный алгоритм RC4. Вредоносное ПО может загружать, загружать,
удалять и выполнять файлы; включить доступ Windows CLI; создавать и прекращать
процессы; и выполнить перечисление целевой системы.
