Эксперты Национального центра кибербезопасности США (National Cybersecurity and Communications Integration Center, NCCIC) обнаружили новый зловред в арсенале APT-группировки Hidden Cobra. Программа под названием Electricfish представляет собой продвинутый сетевой шлюз, позволяя злоумышленникам выгружать данные из закрытых инфраструктур.
На счету группировки Hidden Cobra, также известной как Lazarus, множество кампаний, включая взлом азиатских финансовых организаций и запуск эпидемии шифровальщика WannaCry. В 2019 году преступников заподозрили в атаках на российские предприятия.
Специалисты NCCIC не раскрывают, как они получили доступ к зловреду. Известно лишь, что ПО обнаружино при расследовании ФБР и Министерством внутренней безопасности США неких атак Hidden Cobra, что позволило однозначно установить связь программы с группировкой. Позже на VirusTotal обнаружились еще три версии программы, которые загрузили на сайт в августе — октябре 2018 года.
Как рассказали эксперты, Electricfish создает канал для передачи данных между жертвой и атакующими. Операторы зловреда выставляют необходимые настройки через командную строку: указывают IP-адреса и порты для передачи информации от зараженной машины на управляющий сервер, прописывают данные прокси. После этого Electricfish открывает TCP-подключение, по которому и направляет трафик.
Зловред использует специально разработанный протокол, что позволяет действовать незаметно для стандартных систем мониторинга. Использование собственного прокси-сервера обеспечивает злоумышленникам возможность обойти системы аутентификации.
По данным центра кибербезопасности Вьетнама (Vietnam Computer Emergency Response Center, VNCERT), несколько месяцев назад зловред использовали в атаках на банки и критическую инфраструктуру этой страны. На момент публикации в открытых источниках нет подробностей об этих инцидентах.
Специалисты NCCIC опубликовали индикаторы, по которым можно отследить заражение Electricfish (XML-файл). Эксперты также призывают администраторов проверить актуальность ПО и настройки сетевого доступа на подконтрольных им компьютерах, включить брандмауэры и ограничить пользователям возможность установки стороннего ПО.
Ранее аналитики сообщили о появлении у Lazarus многофункционального трояна HOPLIGHT, который позволяет преступникам загружать на компьютеры стороннее ПО и вмешиваться в системные процессы.
Источник: https://threatpost.ru/hidden-cobra-arms-up-with-electricfish/32597/