Ερευνητές της Fortinet ανέλυσαν δείγματα του NukeSped malware και διαπίστωσαν ότι παρουσιάζει πολλές ομοιότητες με το κακόβουλο λογισμικό που χρησιμοποιεί η hacking ομάδα Lazarus, που συνδέεται με τη Βόρεια Κορέα. Οι ερευνητές πιστεύουν ότι πρόκειται για ένα νέο όπλο αυτής της APT ομάδας.
Πριν από δύο μήνες, η Intezer και η McAfee συνεργάστηκαν για τη διεξαγωγή μιας έρευνας σχετικά με την επαναχρησιμοποίηση κώδικα σε malware. Οι ερευνητές διαπίστωσαν ότι ορισμένες APT ομάδες μοιράζονται τμήματα του ίδιου κώδικα για τη δημιουργία του κακόβουλου λογισμικού τους.
Μετά από ανάλυση χιλιάδων δειγμάτων κακόβουλου λογισμικού, οι ερευνητές διαπίστωσαν πολλές ομοιότητες στον source code, που χρησιμοποιείται σε επιθέσεις που σχετίζονται με τη Βόρεια Κορέα.
Για παράδειγμα, το «Common SMB module» ήταν μέρος του WannaCry Ransomware (2017). Οι ερευνητές παρατήρησαν ότι έμοιαζε πολύ με τον κώδικα των κακόβουλων λογισμικών Mydoom (2009), Joanap και DeltaAlfa.
Στην τωρινή μελέτη, οι ερευνητές της Fortinet ανέλυσαν νέα δείγματα, τα οποία συσχέτισαν με την hacking ομάδα Lazarus, καθώς παρατήρησαν ομοιότητες με τα κακόβουλα λογισμικά που χρησιμοποιούσε σε προηγούμενες επιθέσεις.
Σύμφωνα με την ανάλυση, όλα τα δείγματα σχετίζονταν με την κορεατική γλώσσα, είχαν συνταχθεί για συστήματα 32-bit και χρησιμοποιούσαν κρυπτογραφημένες συμβολοσειρές.
Το NukeSped λειτουργεί ουσιαστικά σαν RAT, δίνει δηλαδή στους επιτιθέμενους τη δυνατότητα να διαχειρίζονται απομακρυσμένα τον μολυσμένο υπολογιστή.
Ποια είναι τα χαρακτηριστικά του NukeSped RAT;
- Επανάληψη αρχείων σε ένα φάκελο
- Δημιουργία διαδικασιών
- Επεξεργασία διαδικασιών
- Τερματισμός διαδικασιών
- Γραφή αρχείου
- Ανάγνωση αρχείου
- Μετακίνηση αρχείου
- Απομακρυσμένη σύνδεση σε υπολογιστή
- Ανάκτηση και εκκίνηση payload από το διαδίκτυο
- Λήψη πληροφοριών σχετικά με τους εγκατεστημένους δίσκους (τύπος δίσκου, ελεύθερος χώρος κλπ)
- Απόκτηση του τρέχοντος directory
- Αλλαγή directory
- Αφαίρεση του εαυτού του και των δραστηριοτήτων του από το μολυσμένο σύστημα
Η σύνδεση ενός κακόβουλου λογισμικού με μια συγκεκριμένη hacking ομάδα δεν είναι εύκολη υπόθεση.
Οι ερευνητές της Fortinet έπρεπε να κάνουν πολλές αναλύσεις και να εξετάσουν συγκεκριμένα χαρακτηριστικά για να καταλήξουν στο συμπέρασμα ότι το NukeSped RAT συνδέεται με φορείς απειλής της Βόρειας Κορέας και συγκεκριμένα με την ομάδα Lazarus.
