NACHOCHEESE
De meest beruchte hackgroep uit Noord-Korea heet APT38 (Advanced Persistent Threat). Ze zijn ook bekend onder de naam Lazarus en zijn al een tijdje actief. Het is bekend dat de hackgroep van APT38 werkt voor de Noord-Koreaanse regering en hun inspanningen zijn gericht op het wereldwijd bevorderen van Noord-Koreaanse belangen. De meeste hackgroepen die worden ingehuurd door overheden hebben de neiging om nogal conservatief te werken en zorgen ervoor dat ze het systeem van het doelwit niet onnodig schade toebrengen. De APT38-groep is echter niet geïnteresseerd in dergelijke voorzorgsmaatregelen en kan soms een geïnfiltreerd systeem volledig vernietigen, wat er niet belangrijk voor is. Sommige leden van de APT38 worden zelfs gezocht door de Amerikaanse FBI.
Neemt de opdrachtregel van het systeem over
De NACHOCHEESE-bedreiging maakt deel uit van het arsenaal van hacktools van de APT38, en hoewel het misschien niet een van hun meest complexe bedreigingen is, kan het een cruciaal hulpmiddel in een campagne blijken te zijn. Deze malware is een opdrachtregelhacktool, die de APT38-groep op een gecompromitteerd systeem zou plaatsen als een tweede fase nuttige lading. Met de NACHOCHEESE-malware kunnen de aanvallers externe opdrachten uitvoeren op de gecompromitteerde host door controle te nemen over de opdrachtregel van het systeem.
APT38 probeert onderzoekers te misleiden
Een interessant kenmerk van de NACHOCHEESE-bedreiging is dat bepaalde delen van de code in zeer slecht Russisch zijn geschreven. Het is waarschijnlijk dat de APT38 probeerde cybersecurity-experts in verwarring te brengen en hen misschien te misleiden door te geloven dat de NACHOCHEESE achterdeur afkomstig is uit Rusland en niet uit Noord-Korea. Dit is een terugkerend thema bij het omgaan met bedreigingen gecreëerd door de APT38. In eerdere campagnes hebben malware-onderzoekers regels van hun code ontdekt die zijn geschreven in het Chinees, Russisch en Iraans. Een andere truc die de APT38 graag gebruikt, is het implementeren van een afzonderlijke, gemakkelijk detecteerbare bedreiging op de gecompromitteerde host. Dit kan ertoe bijdragen dat de NACHOCHEESE voor een langere periode onopgemerkt blijft.
Omdat de APT38 door de overheid wordt gefinancierd, zal hun dreigende activiteit waarschijnlijk in de toekomst doorgaan en zullen we waarschijnlijk nieuwe bedreigingen blijven zien die door deze beruchte hackgroep zijn gecreëerd.
