NACHOCHEESE
Den mest ökända hackinggruppen som härstammar från Nordkorea kallas APT38 (Advanced Persistent Threat). De är också kända under alias Lazarus och har varit aktiva ganska länge. Det är känt att hackinggruppen APT38 arbetar för den nordkoreanska regeringen, och deras ansträngningar är koncentrerade på att främja nordkoreanska intressen globalt. De flesta hackinggrupper som anställs av regeringar tenderar att verka på ett ganska konservativt sätt och se till att de inte orsakar onödiga skador på målets system. APT38-gruppen intresserar emellertid inget intresse för sådana försiktighetsåtgärder och kan ibland helt förstöra ett infiltrerat system, vilket inte är av betydelse för det. Några av medlemmarna i APT38 är till och med önskade av Förenta staternas FBI.
Tar över systemets kommandorad
NACHOCHEESE-hotet är en del av APT38: s hackningsverktygsarsenal, och även om det kanske inte är bland deras mest komplexa hot, kan det visa sig vara ett avgörande verktyg i en kampanj. Det här skadliga programmet är ett verktyg för hacking för kommandorader, som APT38-gruppen skulle plantera på ett komprometterat system som en nyttolast i andra steg. NACHOCHEESE-skadlig kod tillåter angriparna att utföra fjärrkommandon på den komprometterade värden genom att ta kontroll över kommandoraden i systemet.
APT38 Försök att lura forskare
Ett intressant drag i NACHOCHEESE-hotet är att vissa delar av dess kod är skriven på mycket dålig ryska. Det är troligt att APT38 försökte förvirra experter inom cybersäkerhet och kanske vilseleda dem att tro att NACHOCHEESE-bakdörren kommer från Ryssland och inte Nordkorea. Detta är ett återkommande tema när man hanterar hot skapade av APT38. Under tidigare kampanjer har skadliga forskare upptäckt rader med sin kod skriven på kinesiska, ryska och iranska. Ett annat trick som APT38 gillar att använda är att distribuera ett separat, lätt detekterbart hot på den komprometterade värden. Detta kan hjälpa NACHOCHEESE att förbli obemärkt under en längre period.
Eftersom APT38 finansieras av regeringen kommer deras hotande aktivitet antagligen att fortsätta i framtiden, och vi kommer troligen fortsätta att se nya hot skapade av denna ökända hackinggrupp.
