Il governo degli Stati Uniti espone il nuovo malware backdoor BLINDINGCAN nordcoreano

Il governo degli Stati Uniti espone il nuovo malware backdoor BLINDINGCAN nordcoreano

Le agenzie governative degli Stati Uniti hanno pubblicato oggi un rapporto di analisi del malware che espone le informazioni su un malware di accesso remoto trojan (RAT) utilizzato dagli hacker nordcoreani in attacchi mirati agli appaltatori governativi. 

Il malware è stato identificato dalla Cybersecurity and Infrastructure Security Agency (CISA) e dal Federal Bureau of Investigation (FBI) ed è noto come BLINDINGCAN.

Il trojan è stato attribuito dalle due agenzie al gruppo di hacker sponsorizzato dal governo nordcoreano, rintracciato come HIDDEN COBRA (alias Lazarus Group e APT38).

Malware in grado di cancellarne le tracce

Secondo l'analisi delle agenzie, il RAT è dotato di "funzioni integrate per operazioni remote che forniscono varie capacità sul sistema della vittima".

"CISA ha ricevuto quattro documenti XML (Open Extensible Markup Language) di Microsoft Word (.docx), due librerie Dynamic-Link (DLL)", si legge nell'avviso.

"I file .docx tentano di connettersi a domini esterni per un download. È stata inviata una DLL a 32 bit e una a 64 bit che installano rispettivamente una DLL a 32 bit e una a 64 bit denominate "iconcache.db". La DLL "iconcache.db" decomprime ed esegue una variante di Hidden Cobra RAT."

Sulla base dei risultati dell'analisi del malware CISA e FBI, il malware BLINDINGCAN può anche rimuovere se stesso dai sistemi compromessi e pulire le sue tracce per evitare il rilevamento tra le altre funzionalità:

• Recupera le informazioni su tutti i dischi installati, incluso il tipo di disco e la quantità di spazio libero sul disco
• Crea, avvia e termina un nuovo processo e il suo thread principale
• Cerca, leggi, scrivi, sposta ed esegui file
• Ottieni e modificare i timestamp di file o directory
• Modificare la directory corrente per un processo o un file
• Eliminare malware e artefatti associati al malware dal sistema infetto

Il report di analisi del malware AR20-232A è stato rilasciato per fornire alle organizzazioni informazioni dettagliate sul malware acquisite tramite reverse engineering manuale.

È inoltre progettato per aiutare i difensori della rete a rilevare e limitare l'esposizione ad attività informatiche dannose HIDDEN COBRA poiché il governo degli Stati Uniti si riferisce ad attività dannose del governo nordcoreano.

Malware nordcoreano e attività dannose

Altre tre varianti di malware nordcoreane sono state esposte a maggio, tra cui uno strumento di accesso remoto noto come COPPERHEDGE e utilizzato negli attacchi contro gli scambi di criptovaluta e due trojan noti come TAINTEDSCRIBE e PEBBLEDASH.

Il governo degli Stati Uniti ha emesso altri sei avvisi di sicurezza con informazioni sul malware nordcoreano a metà febbraio, esponendo:

• BISTROMATH (RAT con funzionalità complete), 
• SLICKSHOES (contagocce di malware con pacchetto Themida), 
• CROWDEDFLOUNDER (caricatore di Trojan di accesso remoto), 
• HOTCROISSANT (impianto di beaconing con funzionalità di backdoor), 
• ARTFULPIE (malware che carica ed esegue una DLL da un URL hardcoded), 
• BUFFETLINE (impianto di segnalazione con caratteristiche backdoor).

Un anno fa, nel 2019, il CISA e l'FBI hanno anche pubblicato informazioni su un altro malware denominato ELECTRICFISH utilizzato per rubare dati, nonché sul trojan HOPLIGHT utilizzato per mascherare il traffico dannoso.

Nell'aprile 2020, il governo degli Stati Uniti ha offerto una ricompensa fino a 5 milioni di dollari per informazioni sull'attività informatica degli hacker della RPDC, comprese le operazioni passate o in corso, che portano all'interruzione delle attività illegali legate alla RPDC o all'identificazione o all'ubicazione del nordcoreano attori.

I gruppi di hacking nordcoreani erano dietro i furti di criptovaluta che hanno portato a perdite di $ 571 milioni nel 2017 e nel 2018.

Il Tesoro degli Stati Uniti ha firmato sanzioni contro tre gruppi di hacker sponsorizzati dalla RPDC (Lazarus, Bluenoroff e Andariel) nel settembre 2019.

Maggiori informazioni sull'attività di HIDDEN COBRA sotto forma di allarmi precedenti rilasciati sono disponibili tramite il sistema di sensibilizzazione informatica nazionale degli Stati Uniti.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.