ABD Ulusal Güvenlik Bakanlığı (DHS) ve FBI, üretken Kuzey Koreli APT hack grubu Hidden Cobra'nın aktif olarak kullandığı yeni bir kötü amaçlı yazılım hakkında ortak bir uyarı yaptılar.
Lazarus Group ve Barış Muhafızları olarak da bilinen Hidden Cobra'nın Kuzey Kore hükümeti tarafından desteklendiğine ve Dünya genelinde medya kuruluşlarına, havacılık, finans ve kritik altyapı sektörlerine siber saldırılar başlattığı bilinmektedir.
Hacking grubu, 2017 WannaCry Ransomware, 2014 Sony Pictures Hack ve 2016 yılında SWIFT Bankacılık saldırısı ile ilişkiliydi.
Şimdi, DHS ve FBI, ELECTRICFISH adlı, yeni bir kötü amaçlı yazılım çeşidini ortaya çıkardı, Hidden Cobra korsanlarının gizlice gizlenen bilgisayar sistemlerinden gelen trafiğe gizlice tünel açmak için kullandıkları ortaya çıktı.
Kötü amaçlı yazılım, bilgisayar korsanlarının ağın dışına ulaşmak için gerekli kimlik doğrulamasını atlamasına izin veren bir proxy sunucusu / bağlantı noktası ve proxy kullanıcı adı ve şifresi ile yapılandırılmış özel bir protokol uygular.
ElectricFish kötü amaçlı yazılımı birincil amacı iki IP adresi arasındaki trafiği hızla yönlendirmek olan bir komut satırı oluşturan yardımcı bir programdır.
Kötü amaçlı yazılım, Hidden Cobra hacker'larının bir proxy sunucusu / bağlantı noktası ve proxy kullanıcı adı ve şifresi ile yapılandırmasına izin vererek, saldırganların virüslü sistemin gerekli kimlik doğrulamasını atlamasına olanak sağlayan bir proxy sunucusunun içinde oturan bir sisteme bağlanmayı mümkün kılıyor.
Kaynak IP adresi ve hedef IP adresi ile TCP oturumları kurmaya çalışacaktır. Hem kaynak hem de hedef IP'lerle bağlantı kurulursa, bu kötü amaçlı yardımcı program trafiğin iki makine arasında hızlı ve verimli bir şekilde kullanılmasını sağlayacak özel bir protokol uygular, "
"Gerekirse, kötü amaçlı yazılım, hedef IP adresine erişebilmek için bir proxy ile kimlik doğrulaması yapabilir. Bu yardımcı program için yapılandırılmış bir proxy sunucusu gerekli değildir."
ElectricFish yapılandırılan proxy ile kimlik doğrulaması yaptığında, derhal kurban ağının ve kaynak IP adresinin dışında bulunan hedef IP adresiyle bir oturum kurmaya çalışır. Saldırı, tünel trafiği için kaynak ve hedefi belirtmek için komut istemlerini kullanır.
ABD-CERT web sitesi, bu yeni kötü amaçlı yazılımdan etkilenen ABD kuruluşlarına zaten olup olmadığını belirtmemiş olsa da, ortak kötü amaçlı yazılım analizi raporu (MAR), "ağ savunmasını etkinleştirme" uyarısının yayınlandığını söylüyor.
DHS ve FBI kullanıcıları ve organizasyonları Hidden Cobra kötü amaçlı yazılımları hakkında insanları uyarmak için ortak bir uyarı bildirisi yayınladı.
2017'de, ABD-CERT, Kuzey Koreli bilgisayar korsanlarının hedeflerine yönelik dağıtılmış hizmet reddi saldırıları başlatmak için kullandıkları bir DDoS aracı olan Delta Charlie adlı amaçlı yazılımının ayrıntılarını içeren bir uyarı yayınladı.
thehackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder