US-Regierung warnt vor neuem "Hidden Cobra" Cyberangriff, der von Nordkorea initiiert wurde

Die Behörden der US-Regierung haben diese Woche gewarnt, dass die nordkoreanische APT-Gruppe Hidden Cobra einen weiteren gefährlichen Cyberangriff mit einer neuen Form von Malware gestartet hat. Laut dem US-amerikanischen Computer Emergency Readiness Team (US-CERT) zielt die neue Malware auf hochkarätige Opfer ab , wie große Unternehmen in den USA und weltweit, wobei die neue Bedrohung keineswegs weniger stark ist als die zuvor bekannten Angriffe unter der Hidden Cobra Kampagne in den letzten Jahren. Die Akteure hinter diesen Angriffen versuchen, vertrauliche und geschützte Informationen zu extrahieren. Die von ihnen verteilten schädlichen Tools können jedoch auch den regulären Betrieb der infizierten Computer stören und Dateien deaktivieren.

Die neue Malware, die vom Department of Homeland Security (DHS) als Typeframe bezeichnet wird, verfügt über nahezu dieselben Funktionen wie die anderen Bedrohungen, die zuvor von der Hacking-Gruppe implementiert wurden. Typeframe ist nämlich in der Lage, Firewall-Regeln zu ändern, zusätzliche Nutzdaten herunterzuladen und auszuführen und auf Anweisungen von einem Fernbedienungsserver zu warten. Laut dem vom DHS herausgegebenen Bericht wurden 11 verschiedene Malware-Beispiele entdeckt, die aus ausführbaren 32-Bit- und 64-Bit-Windows-Dateien bestanden. Zu den entdeckten Elementen gehört auch ein Microsoft Word-Dokument mit Makros, die für die tatsächliche Bereitstellung der Malware auf den Zielcomputern dienen.

Zwei Familien von Malware wurden in der Vergangenheit von den US-Behörden der Hidden Cobra-Gruppe zugeordnet - ein RAT-Tool (Remote Access Tool) namens Joanap und ein SMB (Server Message Block) namens Brambul.

Gemeinsame Untersuchungen des DHS und des FBI haben gezeigt, dass die IP-Adressen und die anderen Kompromissindikatoren für diese beiden vorherigen Bedrohungen auf Malware hinweisen, die normalerweise von der nordkoreanischen Regierung entwickelt wird. Laut einer Ende Mai dieses Jahres veröffentlichten Warnung sind die beiden Kampagnen seit mindestens 2009 aktiv, und ihre Aktivitäten bestanden hauptsächlich darin , infizierte Computer weltweit zu verfolgen. Die Opfer dieser Cyberspionage kommen aus verschiedenen Wirtschaftsbereichen wie Infrastruktur, Medien, Finanzen, Luft- und Raumfahrt und vielen anderen. Zu den von den Verstößen betroffenen Ländern zählen Belgien, China, Saudi-Arabien, Spanien, Schweden, Argentinien und Taiwan.

Experten warnen davor, dass diese Art von Malware Systeme ohne Benachrichtigung von Benutzern und Eigentümern infiziert. Wenn die bösartige App ihre Persistenz auf den betroffenen Computern sicherstellt, kann sie sich durch das gesamte Netzwerk bewegen und andere verbundene Geräte infizieren.