Hidden Cobra ajoute à son arsenal de logiciels malveillants: CISA

La cybersécurité DHS
et la sécurité des infrastructures (CISA) et le Bureau fédéral de
L’enquête a publié un rapport sur six variantes de logiciels malveillants nouveaux ou mis à niveau
utilisé par la Corée du Nord.

Le malware
les types inclus sont Bistromath, Slickshoes, Crowdedflounder, Hotcroissant,
Artfulpie, Buffetline et Hoplight. Hoplight est un malware précédemment enregistré
serait utilisé par le groupe nord-coréen de cyberespionnage Cobra caché. Tout le nouveau
Les types de logiciels malveillants sont également utilisés par Hidden Cobra, selon CISA.

Bistromath,
également utilisé par Hidden Cobra, est essentiellement un exécutable d’implant RAT complet
et plusieurs versions du contrôleur / constructeur d’implant CAgent11 GUI. Il
effectue un encodage simple du réseau XOR et peut effectuer des levés du système, fichier
upload / download, processus et exécution de commandes, peut écouter un microphone audio,
afficher le presse-papiers et l’écran. Les contrôleurs GUI permettent l’interaction avec
l’implant ainsi que la possibilité de construire dynamiquement de nouveaux implants avec
options personnalisées.

Slickshoes est
un compte-gouttes Themida qui décode et dépose un fichier
“C: Windows Web taskenc.exe” qui est une balise Themida
implant. Cette balise n’exécute pas le fichier déposé et ne planifie aucun
tâches pour exécuter le logiciel malveillant, à la place, il utilise un encodage réseau indigène
algorithme pour mener des enquêtes sur le système, télécharger / télécharger des fichiers, traiter et
exécution de commandes et captures d’écran.

Crowdedflounder
est un exécutable Windows 32 bits Themida qui peut décompresser et exécuter un RAT
binaire en mémoire. Les autres fonctionnalités incluent la possibilité d’écouter en tant que proxy pour
les connexions entrantes contenant des commandes ou peuvent se connecter à un serveur distant pour
recevoir des commandes.

Hotcroissant
est un autre implant de balisage complet qui exécute un réseau XOR personnalisé
encodage et peut mener des enquêtes sur le système, télécharger et télécharger des fichiers, traiter et
exécution de commande et effectuer des captures d’écran.

Artfulpie est
un implant qui télécharge des données et gère le chargement en mémoire et l’exécution d’un
DLL à partir d’une URL codée en dur.

Buffetline est
le troisième implant complet présenté. Il utilise PolarSSL pour la session
l’authentification, mais passe à un schéma FakeTLS pour l’encodage réseau à l’aide d’un
algorithme RC4 modifié. Le malware a la capacité de télécharger, télécharger,
supprimer et exécuter des fichiers; activer l’accès CLI Windows; créer et résilier
processus; et effectuer l’énumération du système cible.

Source

A propos admin

Découvrez également

Destiny 2: Bungie annonce le retour de Trials of Osiris

Après la fin de la restauration de la Fondation Empyrean par la communauté Destiny, le …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *