FBI i Agencja Bezpieczeństwa Infrastruktury Cyberbezpieczeństwa (CISA) opublikowały nowe informacje o północnokoreańskim złośliwym oprogramowaniu w postaci sześciu nowych raportów analizy złośliwego oprogramowania (MAR). Agencje amerykańskie opublikowały te MAR, aby zapewnić organizacjom szczegółowe informacje dotyczące analizy złośliwego oprogramowania, które zostały uzyskane poprzez ręczną inżynierię wsteczną próbek złośliwego oprogramowania. Jednocześnie opublikowano raporty, które mają pomóc obrońcom sieci w wykrywaniu i zmniejszaniu narażenia na szkodliwą aktywność rządu Korei Północnej, którą rząd USA nazywa UKRYTĄ KOBRA. CISA zaleca, aby wszyscy użytkownicy i administratorzy dokładnie przejrzeli siedem MAR w poście na blogu, mówiąc: „Każdy MAR zawiera opisy złośliwego oprogramowania, sugerowane działania i zalecane techniki ograniczania ryzyka”. Użytkownicy lub administratorzy powinni zgłaszać działania związane ze złośliwym oprogramowaniem i zgłaszać je do CISA lub FBI Cyber Watch (CyWatch) oraz nadawać temu działaniu najwyższy priorytet w celu ulepszonego łagodzenia skutków. "
Złośliwe oprogramowanie z Korei Północnej
Oprócz wydania nowych MAR, US Cyber Command przesłało również próbki złośliwego oprogramowania do VirusTotal, mówiąc w tweecie: „To złośliwe oprogramowanie jest obecnie wykorzystywane do phishingu i zdalnego dostępu przez cyberprzestępców z KRLD w celu prowadzenia nielegalnych działań, kradzieży funduszy i unikania sankcji”. Raporty opublikowane przez CISA zawierają szczegółową analizę sześciu nowych próbek złośliwego oprogramowania, które są obecnie śledzone przez władze USA pod nazwami Bistromath, Slickshoes, Crowdedflounder, Hotcroissant, Artfulpie i Buffetline. Podczas gdy niektóre z nich to trojany o zdalnym dostępie (RAT) i złośliwe oprogramowanie, inne są opisywane jako w pełni wybierane implanty używane do pobierania, pobierania, usuwania i wykonywania plików CISA i inne agencje rządowe USA przypisują złośliwe oprogramowanie wspieranej przez rząd Korei Północnej grupie hakerskiej znanej jako HIDDEN COBRA, ale grupa ta jest również znana jako Grupa Lazarus i jest największą i najbardziej aktywną dywizją hakerską w Korei Północnej. Przez BleepingComputer