Hidden Cobra: nordkoreanische Hacker erneut auf Beutezug

Artikel ansehen

Das US Cyber Command warnt vor neuen Aktivitäten nordkoreanischer Hacker, die auf Befehl von Machthaber Kim Jong-Un weltweit „auf Plünderungstour“…

…eine Phishing-Kampagne :sneezing_face:

Lieber Gott, die bösen Phisher vom Kim Jong :joy:
Wie das wohl aussieht? Zwei Nordkoreaner sitzen am C64 und der Rest des Hauses wurde ausquartiert, damit sie genug Strom haben? :rofl:

So lächerlich ist das gar nicht, den Nordkoreanern sind wirklich schon mehrere größere Raubzüge gelungen. Bei der unfassbar schlechten Versorgung der eigenen Bevölkerung mit dem Internet glaubt man daran zunächst natürlich nicht…

Wenn man bedenkt, dass deren Manpower aufgerundet ca. 17x so groß ist wie unsere, dann ist es nur eine Frage der Zeit bis wir mehr Lizenzgebühren ausgeben als einnehmen.

Ich hoffe nur, dass die verantwortlichen rechtzeitig Vorbeugen um sich nicht selbst Beugen zu lassen!
Vorsorge ist besser als Not-OP!

Offiziell hat ganz Nordkorea nur 1024 IP-Adressen zugeteilt bekommen, deswegen haben selbst große Universitäten oft nur eine einzige Netzwerkanbindung, über die ihr Internetverkehr läuft.
Gerade einmal vier Netzverbindungen (Stand: 2015) schließen das Land über China an den Rest der Welt an, die komplette technische Anbindung hierfür übernimmt der chinesische Internet-Provider China Unicom.
Angeblich haben nur ca. 7000 bis 9000 Menschen in Nordkorea überhaupt einen Anschluß ins Internet, natürlich unter den Augen der Regierung! Da in solch einem armen Land natürlich ein guter Hacker wahnsinnige Privilegien geniesst, wäre es nicht verwunderlich, wenn es dort einige gibt! Zudem sitzen die Hacker ja auch nicht im Land selber, sondern werden als Spione in die ganze Welt entlassen, um ihre Anschläge schön unauffällig von dort aus überall durchführen zu können… :wink:

Das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichten Berichte über die mit Nordkorea in Verbindung stehende Malware HIDDEN COBRA.

Das FBI, das US-Cyber-Kommando und das Heimatschutzministerium haben technische Einzelheiten über eine neue, mit Nordkorea verbundene Hacker-Operation veröffentlicht.

Die Regierungsexperten haben neue und aktualisierte Malware-Analyseberichte (MARs) veröffentlicht, die sich auf neue Malware-Familien beziehen, die in neue Angriffe der mit Nordkorea verbundenen HIDDEN COBRA-Gruppe verwickelt sind.

Die folgenden MARs-Berichte sollen Organisationen dabei helfen, die Aktivitäten von HIDDEN COBRA aufzudecken:

https://www.us-cert.gov/ncas/analysis-reports/ar20-045a

https://www.us-cert.gov/ncas/analysis-reports/AR20-045B

https://www.us-cert.gov/ncas/analysis-reports/AR20-045C

https://www.us-cert.gov/ncas/analysis-reports/AR20-045D

https://www.us-cert.gov/ncas/analysis-reports/AR20-045E

https://www.us-cert.gov/ncas/analysis-reports/ar20-045f

https://www.us-cert.gov/ncas/analysis-reports/ar20-045g

Sehen wir uns jede Malware, die in den soeben veröffentlichten MARs-Berichten detailliert beschrieben wird, einmal näher an:

  • BISTROMATH - ein voll funktionsfähiges RAT-Implantat
  • SLICKSHOES - ein Themida-gepackter Dropper
  • CROWDEDFLOUNDER - eine mit Themida gepackte 32-Bit-Windows-Datei, die dazu dient, einen Remote Access-Trojaner (RAT) zu entpacken und im Speicher auszuführen
  • HOTCROISSANT - ein voll funktionsfähiges Beaconing-Implantat, das für die Durchführung von Systemumfragen, das Hoch- und Herunterladen von Dateien, die Ausführung von Prozessen und Befehlen sowie die Durchführung von Bildschirmaufnahmen verwendet wird
  • ARTFULPIE - ein Implantat, das das Herunterladen und Laden im Speicher sowie die Ausführung einer DLL von einer hartkodierten URL durchführt
  • BUFFETLINE - ein voll funktionsfähiges Beaconing-Implantat

Die US-Behörden aktualisierten auch Informationen, die in einem MARs-Bericht über den proxy-basierten Hintertür-Trojaner HOPLIGHT enthalten sind, der im April 2019 erstmals analysiert wurde.

Jeder Bericht enthält eine detaillierte „Malware-Beschreibung, Vorschläge für Gegenmaßnahmen und empfohlene Techniken zur Schadensbegrenzung“.

Das US-Cyber Command gab außerdem bekannt, dass es Malware-Proben auf VirusTotal hochgeladen hat.