• Paolo Benanti

Guerra Cyber: gli US pubblicano malware nord coreani

Il governo degli Stati Uniti declassifica ed espone nuovi malware nordcoreani responsabili di numerosi attacchi di phishing.



Il 12 maggio scorso il governo degli Stati Uniti ha rilasciato al pubblico, declassificandole, informazioni su tre nuove varianti di malware utilizzate nelle campagne di attività informatiche malevole da un gruppo di hacker sostenuto dal governo nordcoreano, identificato con il nome HIDDEN COBRA.



Il nuovo malware viene utilizzato "per phishing e accesso remoto da parte di cyber attori #DPRK per condurre attività illegali, rubare fondi ed eludere sanzioni", secondo le informazioni pubblicate dal Federal Bureau of Investigation (FBI), dalla Cybersecurity and Infrastructure Security Agency (CISA) e il Department of Defence (DoD).


L'US Cyber ​​Command ha anche caricato, nel repository di aggregazione malware VirusTotal, cinque campioni delle varianti malware appena scoperte.

Oltre ai campioni di malware condivisi dal US Cyber ​​Command, CISA ha anche pubblicato dettagliati malware analysis report (MAR) sul proprio sito Web contenenti indicatori di compromesso (IOC) e regole YARA per ciascuno dei campioni rilevati.

L'agenzia per la sicurezza informatica fornisce anche misure di mitigazione sotto forma di regole di Snort, nonché raccomandazioni per i proprietari e gli amministratori di sistema per rafforzare la posizione di sicurezza dei sistemi della propria organizzazione.


I MAR vengono emessi per aiutare i difensori della rete a rilevare e ridurre l'esposizione alle attività informatiche dannose di HIDDEN COBRA poiché le agenzie di sicurezza informatica del governo degli Stati Uniti si riferiscono ad attività dannose del governo nordcoreano.



La prima delle nuove varianti di malware, COPPERHEDGE, è descritta come uno strumento di accesso remoto (RAT) "utilizzato da cyber attori avanzati di minacce persistenti (APT) nel targeting di scambi di criptovaluta e entità correlate".

Questo RAT è noto per la sua capacità di aiutare gli attori dietro le minacce a eseguire la ricognizione del sistema, eseguire comandi arbitrari su sistemi compromessi ed esfiltrare i dati rubati.

TAINTEDSCRIBE è un trojan che funge da impianto di beaconing completo di moduli di comando e progettato per mascherarsi da Microsoft Narrator.

Il trojan "scarica il modulo di esecuzione dei comandi da un server di comando e controllo (C2) e quindi ha la capacità di scaricare, caricare, eliminare ed eseguire i file; abilitare l'accesso alla CLI di Windows; creare e terminare i processi; ed eseguire l'enumerazione del sistema di destinazione".

Ultimo ma non meno importante, PEBBLEDASH è un altro trojan nordcoreano che agisce come un impianto di beaconing completo e utilizzato dai gruppi di hacking sostenuti dalla Corea del Nord "per scaricare, caricare, eliminare ed eseguire file; abilitare l'accesso alla CLI di Windows; creare e terminare processi ed eseguire l'enumerazione del sistema di destinazione".


Il mese scorso, il governo degli Stati Uniti ha anche pubblicato una guida sull'attività di hacking della Corea del Nord e ha offerto un premio fino a 5 milioni di dollari per qualsiasi informazione sull'attività informatica degli hacker della Repubblica Popolare della Corea del Nord (RPDC), comprese le operazioni passate o in corso se porta all'identificazione o alla posizione della Corea del Nord attori o l'interruzione di attività illegali legate alla RPDC. Anche dietro alle rapine di criptovaluta che hanno portato a perdite di 571 milioni di dollari durante il 2017 e il 2018 c'erano hacker della RPDC, e il Ministero del Tesoro degli Stati Uniti ha firmato sanzioni contro tre gruppi di hacking sponsorizzati dalla RPDC (Lazarus, Bluenoroff e Andariel) a settembre 2019.

Due cittadini cinesi sono stati anche accusati nel marzo 2020 del riciclaggio di oltre 100 milioni di dollari in criptovaluta e di circa 250 milioni di dollari rubati dal Gruppo Lazarus nel 2018 in un attacco di scambio di criptovaluta,

A metà febbraio il governo degli Stati Uniti ha pubblicato altri sei rapporti sull'analisi del malware relativi a malware nordcoreano, tra cui:


  • BISTROMATH (RAT completo),

  • SLICKSHOES (dropper malware pieno di Themida),

  • CROWDEDFLOUNDER (caricatore di Trojan di accesso remoto),

  • HOTCROISSANT (impianto di beaconing con funzionalità backdoor),

  • ARTFULPIE (malware che carica ed esegue una DLL da un URL hardcoded),

  • BUFFETLINE (impianto di segnalazione con funzioni backdoor).


Nel 2019, CISA e l'FBI hanno anche rilasciato informazioni su un altro ceppo di malware soprannominato ELECTRICFISH e utilizzato dal gruppo APT nordcoreano Lazarus per rubare dati, nonché sul trojan Lazarus HOPLIGHT utilizzato per mascherare il traffico dannoso.


Maggiori informazioni sulle attività informatiche dannose della Corea del Nord HIDDEN COBRA sotto forma di precedenti MAR e avvisi rilasciati tramite il National Cyber ​​Awareness System sono disponibili qui.



È interessante vedere il governo degli Stati Uniti prendere una posizione più aggressiva sul malware straniero. Rendere pubblici i sample, in modo che tutte le aziende antivirus possano aggiungerli ai loro sistemi di scansione, è un grosso problema - e probabilmente ha richiesto alcune complicate manovre di declassificazione. La guerra da fredda diventa sempre più cyber. Non per questo si fa meno aggressiva o meno sofisticata. Dal mio punto di vista al di là delle considerazioni etiche sui "danni civili" di questi conflitti fa molto fantasticare leggere i nomi in codice e mi suggerisce scenari inverificabili ma molto suggestivi.

192 visualizzazioni