米国が北朝鮮のBLINDINGCANバックドアマルウェアを公開

米国政府機関が公開した投稿によると、リモートアクセス型トロイの木馬が公開されており、このマルウェアは北朝鮮のハッカーが政府の請負業者を狙うために使用されていると言われています。

このマルウェアは、Cyber​​security ad Infrastructure Security AgencyとFBIによって発見され、BLININGCANと呼ばれています。

前述のマルウェアは、北朝鮮の政府を拠点とするハッカーのグループHIDDEN COBRAに関連する2つの機関が原因であることが判明しました。

マルウェアは痕跡を削除できると報告

セキュリティ機関が言っているように、このRATは実際には標的となるコンピューターでさまざまなリモート操作を実行するように構築されており、ハッカーが被害者のマシンでさまざまな機能を実行できるようにします。

CISAによって公開された投稿は、4つのMicrosoft Word Open Extensible Markup Languageベースのドキュメントと2つのDLLファイルも受け取ったことを示しています。

Ms Wordファイルは、システムを外部ドメインに接続してダウンロードを実行するために使用します。また、「iconcache.db」という名前のターゲットマシンに.dbファイルをインストールする32ビットおよび64ビットDLLファイルが送信されたことが確認されました。このDLLファイルは、実際にはHidden Cobra RATのマルウェアバリアントを解凍して実行します。

また、CISAからの報告によると、このマルウェアは、痕跡をクリーンアップして自身とその機能を検出するために、侵害されたコンピューターから自分自身をリモートで隔離することもできます。

見つかった分析レポートは、手動のリバースエンジニアリングを通じてマルウェアの詳細を知らせるためにさまざまな組織に明らかにされました。また、ネットワークディフェンダーがHidden Cobraの悪意のあるアクティビティを特定して制限するのに役立つように設計されています。

Nortk Koreanマルウェアとその悪意のある活動について

北朝鮮のマルウェアについてさらに詳しく説明すると、今年5月に公開された亜種にはさらに3つあります。これには、暗号通貨交換に対する攻撃に使用されたCOPPERHEDGEというRATが含まれ、残りの2つのトロイの木馬はTAINTEDSCRIBEとPEBBLEDASHでした。

1年ほど前に、CISAとFBIは、ELECTRICFISHと呼ばれ、感染したコンピュータからデータや資格情報を盗むために使用された別のマルウェアに関する情報も一緒に公開しました。別のトルジャンもその時に明らかにされ、HOPLIGHTと名付けられました。

別のレポートによると、北朝鮮のハッキング集団が暗号通貨の強盗の背後にも発見され、2017年と2018年には約5億7100万ドルの大幅な損失をもたらしました。

以前のアラートに直面した非表示のコブラアクティビティに関する詳細情報は、米国国立サイバー意識システムの公式ページからも入手できます。