Peretas Korea Utara Menggunakan Terowongan ELECTRICFISH untuk Exfiltrate Data - Otak Kita

Peretas Korea Utara Menggunakan Terowongan ELECTRICFISH untuk Exfiltrate Data


Otak Kita - Departemen Keamanan Dalam Negeri AS (DHS) dan FBI telah mengeluarkan peringatan bersama lainnya tentang malware baru yang digunakan oleh kelompok peretas APT Korea Utara, Hidden Cobra, yang aktif digunakan di alam liar.

Hidden Cobra, juga dikenal sebagai Grup Lazarus dan Penjaga Perdamaian, diyakini didukung oleh pemerintah Korea Utara dan diketahui melancarkan serangan dunia maya terhadap organisasi media, ruang angkasa, sektor keuangan dan sektor infrastruktur penting di seluruh dunia.

Grup peretasan itu sama terkait dengan ancaman ransomware WannaCry 2017, retasan Sony Pictures 2014 , dan serangan SWIFT Banking pada 2016.

Sekarang, DHS dan FBI telah menemukan varian malware baru, dijuluki ELECTRICFISH , yang digunakan peretas Hidden Cobra untuk secara diam-diam menggali lalu lintas dari sistem komputer yang dikompromikan.

Malware mengimplementasikan protokol khusus yang dikonfigurasikan dengan server / port proxy dan nama pengguna dan kata sandi proxy, yang memungkinkan peretas untuk mem-bypass otentikasi yang diperlukan sistem yang dikompromikan untuk menjangkau di luar jaringan.

Malware ElectricFish adalah utilitas baris perintah yang tujuan utamanya adalah untuk dengan cepat menyalurkan lalu lintas antara dua alamat IP.

Malware ini memungkinkan peretas Hidden Cobra untuk mengonfigurasi dengan server proxy / port dan nama pengguna dan kata sandi proxy, sehingga memungkinkan untuk terhubung ke sistem yang berada di dalam server proxy, yang memungkinkan penyerang untuk mem-bypass otentikasi yang diperlukan oleh sistem yang terinfeksi.

    "Ini akan berusaha untuk membuat sesi TCP dengan alamat IP sumber dan alamat IP tujuan. Jika koneksi dilakukan ke IP sumber dan tujuan, utilitas jahat ini akan menerapkan protokol khusus, yang akan memungkinkan lalu lintas dengan cepat dan efisien menjadi disalurkan di antara dua mesin, " peringatan itu berbunyi.

    "Jika perlu, malware dapat mengautentikasi dengan proxy untuk dapat mencapai alamat IP tujuan. Server proxy yang dikonfigurasi tidak diperlukan untuk utilitas ini."


Setelah ElectricFish mengautentikasi dengan proxy yang dikonfigurasi, itu segera mencoba untuk membuat sesi dengan alamat IP tujuan, yang terletak di luar jaringan korban dan alamat IP sumber. Serangan itu akan menggunakan prompt perintah untuk menentukan sumber dan tujuan untuk lalu lintas tunneling.

Meskipun situs web US-CERT tidak menyatakan apakah atau jika ya, organisasi AS mana yang telah terinfeksi dengan malware baru ini, laporan analisis malware bersama (MAR) mengatakan bahwa peringatan telah dikeluarkan "untuk mengaktifkan pertahanan jaringan dan mengurangi paparan aktivitas cyber berbahaya pemerintah Korea Utara. "

Ini bukan pertama kalinya DHS dan FBI mengeluarkan peringatan bersama untuk memperingatkan pengguna dan organisasi tentang malware Cobra Tersembunyi.

Akhir tahun lalu, departemen AS memperingatkan tentang malware FastCash yang digunakan Cobra Tersembunyi sejak 2016 untuk mengkompromikan server aplikasi transfer pembayaran di bank-bank di Afrika dan Asia dalam upaya untuk mencairkan ATM bank.

Kurang dari setahun yang lalu, DHS dan FBI juga menerbitkan sebuah penasehat yang memperingatkan pengguna dari dua malware yang berbeda — Trojan Remote Access yang berfungsi penuh yang dikenal sebagai Joanap dan worm Server Message Block (SMB) bernama Brambul — dihubungkan ke Hidden Kobra.

Pada 2017, US-CERT juga mengeluarkan peringatan yang merinci malware Tersembunyi Cobra yang disebut Delta Charlie — alat DDoS yang mereka yakini digunakan peretas Korea Utara untuk meluncurkan serangan denial-of-service yang didistribusikan terhadap targetnya.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel