12/11/19
Министерство обороны США обвинило киберпреступников, работающих на правительство Северной Кореи, в кибератаках на финансовый сектор, в том числе на сеть SWIFT, с целью обогащения.
Киберкомандование США (CYBERCOM) опубликовало на VirusTotal семь новых образцов вредоносного ПО, используемых в ходе текущей вредоносной кибероперации против финансового сектора. «В настоящее время эти образцы вредоносного ПО используются для генерирования денежных средств и вредоносной активности, в том числе для удаленного доступа, сигнализации и выполнения вредоносных команд», - сообщает CYBERCOM.
Кто стал жертвами вредоносной кампании, и каковы ее масштабы, CYBERCOM не уточняет.
Со своей стороны ФБР также выявило вредоносное ПО и связало его с Северной Кореей. Бюро выпустило уведомление (есть в распоряжении журналистов SyberScoop) с описанием индикаторов компрометации (IOC), совпадающими с IOC прошлых кампаний северокорейских хакеров и ранее проанализированными южнокорейской ИБ-компанией Alyac.
В уведомлении ФБР представлена информация о троянах для удаленного доступа (RAT), инструментах командной строки и web-оболочках, позволяющих получать удаленный доступ к компьютерам жертв, загружать и выгружать файлы и выполнять произвольный код. Связаны ли уведомления CYBERCOM и ФБР между собой, пока неизвестно.
По словам специалиста компании Symantec Викрама Такура (Vikram Thakur), загруженные CYBERCOM вредоносные образцы являются «созданными под заказ, сложными и хорошо написанными». Среди образцов есть билдеры бэкдоров, загрузчики бэкдоров и собственно сами бэкдоры.
Некоторые RAT могут включать микрофон на зараженном устройстве и записывать звук. Бэкдоры позволяют похищать учетные данные, перехватывать нажатия клавиш на клавиатуре, просматривать историю браузера, загружать дополнительные вредоносные модули и управлять обратной web-оболочкой для установки связи между зараженным компьютером и сервером злоумышленников.
Некоторые бэкдоры имеют сходство с вредоносными ПО, используемым северокорейскими правительственными хакерами в течение уже многих лет. К примеру, один из образцов является вариантом бэкдора CHEESETRAY, ранее использовавшегося северокорейцами в атаках на сеть SWIFT. Ряд образцов имеют схожие черты с бэкдором ROCKEYE, чей код был позаимствован у ROGUEEYE, использовавшегося киберпреступниками в кибератаках с целью получения финансовой выгоды.
