Hidden Cobra атаковала подрядчиков оборонной промышленности США

Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (DHS CISA) США предупредило о новом трояне для удаленного доступа BLINDINGCAN, используемом северокорейскими киберпреступниками. Как полагает ФБР, северокорейская группировка Hidden Cobra (также известна как Lazarus Group) использует вредоносное ПО BLINDINGCAN для взлома сетей и кражи данных.

По словам CISA, в начале нынешнего года Hidden Cobra в рамках вредоносной кампании атаковала государственных подрядчиков с целью похитить разведданные о ключевых военных и энергетических технологиях. Преступники использовали вредоносные документы, замаскированные под объявления о вакансиях от оборонных подрядчиков, с целью обмануть жертв, заставить их открыть файл и таким образом установить BLINDINGCAN на системе.

CISA смогло получить четыре документа Microsoft Word и две DLL-библиотеки, используемые в ходе кампании. Файлы .docx пытаются подключиться к внешним доменам для загрузки вредоноса. 32-разрядная и 64-разрядная DLL-библиотеки устанавливают 32-разрядную и 64-разрядную DLL-библиотеки с именем iconcache.db, которые распаковывают и запускают троян для удаленного доступа. Вредонос содержит встроенные функции для осуществления удаленных операций, которые обеспечивают различные возможности на системе жертвы.