Amerikaanse regering waarschuwt voor nieuwe 'Hidden Cobra' cyberaanval geïnitieerd door Noord-Korea
Amerikaanse overheidsinstanties hebben deze week gewaarschuwd dat de Noord-Koreaanse APT-groep Hidden Cobra opnieuw een gevaarlijke cyberaanval heeft gelanceerd met behulp van een nieuwe vorm van malware. Volgens het US Computer Emergency Readiness Team (US-CERT) richt de nieuwe malware zich op spraakmakende slachtoffers , zoals grote bedrijven zowel in de VS als wereldwijd, waarbij de nieuwe dreiging zeker niet minder krachtig is dan de eerder bekende aanvallen. onder de Hidden Cobra-campagne in de afgelopen jaren. De actoren achter deze aanvallen proberen gevoelige en eigendomsinformatie te extraheren. De kwaadaardige tools die door hen worden verspreid, kunnen echter ook de normale werking van de geïnfecteerde machines verstoren en bestanden uitschakelen.
De nieuwe malware genaamd Typeframe, gedetecteerd door het Department of Homeland Security (DHS), heeft vrijwel dezelfde functionaliteiten als de andere bedreigingen die eerder door de hackgroep werden geïmplementeerd. Typeframe is namelijk in staat firewallregels te wijzigen, extra payloads te downloaden en uit te voeren, en te wachten op instructies van een server op afstand. Volgens het rapport van het DHS zijn 11 verschillende malwarevoorbeelden ontdekt, die bestaan uit 32-bits en 64-bits uitvoerbare Windows-bestanden. Onder de ontdekte items bevindt zich ook een Microsoft Word-document met macro's die dienen voor de daadwerkelijke implementatie van de malware op de doelmachines.
Twee malwarefamilies zijn in het verleden door de Amerikaanse autoriteiten toegeschreven aan de Hidden Cobra-groep - een hulpprogramma voor externe toegang (RAT) genaamd Joanap en een Server Message Block (SMB) genaamd Brambul.
Gezamenlijk onderzoek door het DHS en de FBI heeft aangetoond dat de IP-adressen en de andere indicatoren van compromittering van deze vorige twee bedreigingen wijzen op malware die doorgaans wordt ontwikkeld door de regering van Noord-Korea. Volgens een waarschuwing die eind mei van dit jaar is uitgegeven, zijn de twee campagnes al minstens sinds 2009 actief en bestond hun activiteit voornamelijk uit het volgen van geïnfecteerde computers wereldwijd. De slachtoffers van die cyberspionage komen uit verschillende economieën, zoals infrastructuur, media, financiën, lucht- en ruimtevaart en vele anderen. Onder de landen die door de inbreuken zijn getroffen, zijn België, China, Saoedi-Arabië, Spanje, Zweden, Argentinië en Taiwan.
Experts waarschuwen dat dit type malware systemen infecteert zonder enige kennisgeving van gebruikers en eigenaren, en als de kwaadaardige app erin slaagt zijn persistentie op de getroffen machines te beveiligen, kan deze door het hele netwerk bewegen en andere aangesloten apparaten infecteren.