Северокорейская группировка в ходе атак использовала новый троян для удаленного доступа BLINDINGCAN.
https://www.securitylab.ru/upload/ib...2a42301cc5.jpg
Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (DHS CISA) США https://us-cert.cisa.gov/ncas/analys...orts/ar20-232aо новом трояне для удаленного доступа BLINDINGCAN, используемом северокорейскими киберпреступниками. Как полагает ФБР, северокорейская группировка Hidden Cobra (также известна как Lazarus Group) использует вредоносное ПО BLINDINGCAN для взлома сетей и кражи данных.
По словам CISA, в начале нынешнего года Hidden Cobra в рамках вредоносной кампании атаковала государственных подрядчиков с целью похитить разведданные о ключевых военных и энергетических технологиях. Преступники использовали вредоносные документы, замаскированные под объявления о вакансиях от оборонных подрядчиков, с целью обмануть жертв, заставить их открыть файл и таким образом установить BLINDINGCAN на системе.
CISA смогло получить четыре документа Microsoft Word и две DLL-библиотеки, используемые в ходе кампании. Файлы .docx пытаются подключиться к внешним доменам для загрузки вредоноса. 32-разрядная и 64-разрядная DLL-библиотеки устанавливают 32-разрядную и 64-разрядную DLL-библиотеки с именем iconcache.db, которые распаковывают и запускают троян для удаленного доступа. Вредонос содержит встроенные функции для осуществления удаленных операций, которые обеспечивают различные возможности на системе жертвы.