Hidden Cobra атаковала подрядчиков оборонной промышленности США

Hidden Cobra атаковала подрядчиков оборонной промышленности США

Alexander Antipov

Северокорейская группировка в ходе атак использовала новый троян для удаленного доступа BLINDINGCAN.

image

Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (DHS CISA) США предупредило о новом трояне для удаленного доступа BLINDINGCAN, используемом северокорейскими киберпреступниками. Как полагает ФБР, северокорейская группировка Hidden Cobra (также известна как Lazarus Group) использует вредоносное ПО BLINDINGCAN для взлома сетей и кражи данных.

По словам CISA, в начале нынешнего года Hidden Cobra в рамках вредоносной кампании атаковала государственных подрядчиков с целью похитить разведданные о ключевых военных и энергетических технологиях. Преступники использовали вредоносные документы, замаскированные под объявления о вакансиях от оборонных подрядчиков, с целью обмануть жертв, заставить их открыть файл и таким образом установить BLINDINGCAN на системе.

CISA смогло получить четыре документа Microsoft Word и две DLL-библиотеки, используемые в ходе кампании. Файлы .docx пытаются подключиться к внешним доменам для загрузки вредоноса. 32-разрядная и 64-разрядная DLL-библиотеки устанавливают 32-разрядную и 64-разрядную DLL-библиотеки с именем iconcache.db, которые распаковывают и запускают троян для удаленного доступа. Вредонос содержит встроенные функции для осуществления удаленных операций, которые обеспечивают различные возможности на системе жертвы.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab