Правительство США предупреждает о новой кибератаке "скрытой кобры", инициированной Северной Кореей

На этой неделе власти США предупредили, что северокорейская APT-группа Hidden Cobra начала еще одну опасную кибератаку с использованием новой формы вредоносного ПО. По данным американской группы по обеспечению готовности к компьютерным чрезвычайным ситуациям (US-CERT), новое вредоносное ПО нацелено на высокопоставленных жертв , таких как крупные компании как в США, так и во всем мире, при этом новая угроза ни в коем случае не менее мощна, чем ранее известные атаки. в рамках кампании «Скрытая кобра» за последние несколько лет. Актеры, стоящие за этими атаками, пытаются извлечь конфиденциальную и конфиденциальную информацию. Однако распространяемые ими вредоносные инструменты также могут нарушать нормальную работу зараженных машин и отключать файлы.

Новое вредоносное ПО, получившее название Typeframe, обнаруженное Министерством внутренней безопасности США (DHS), имеет почти те же функции, что и другие угрозы, реализованные ранее хакерской группой. А именно, Typeframe может изменять правила брандмауэра, загружать и запускать дополнительные полезные данные, а также ждать инструкций от сервера удаленного управления. Согласно отчету, опубликованному DHS, было обнаружено 11 различных образцов вредоносных программ, которые состояли из 32-битных и 64-битных исполняемых файлов Windows. Среди обнаруженных элементов также есть документ Microsoft Word, содержащий макросы, которые служат для фактического развертывания вредоносного ПО на целевых машинах.

В прошлом власти США относили к группе Hidden Cobra два семейства вредоносных программ: инструмент удаленного доступа (RAT) под названием Joanap и серверный блок сообщений (SMB) под названием Brambul.

Совместное исследование DHS и ФБР показало, что IP-адреса и другие индикаторы компрометации этих двух предыдущих угроз указывают на вредоносное ПО, которое обычно разрабатывается правительством Северной Кореи. Согласно предупреждению, выпущенному в конце мая этого года, две кампании были активны как минимум с 2009 года, и их деятельность заключалась в основном в отслеживании зараженных компьютеров по всему миру. Жертвы этого кибершпионажа происходят из различных сфер экономики, таких как инфраструктура, СМИ, финансы, авиакосмическая промышленность и многие другие. Среди стран, пострадавших от нарушений, - Бельгия, Китай, Саудовская Аравия, Испания, Швеция, Аргентина и Тайвань.

Эксперты предупреждают, что этот тип вредоносного ПО заражает системы без какого-либо уведомления пользователей и владельцев, и если вредоносному приложению удастся обеспечить его постоянство на пораженных машинах, оно может перемещаться по всей сети и заразить другие подключенные устройства.