Le gouvernement américain met en garde contre une nouvelle cyberattaque du `` cobra caché '' initiée par la Corée du Nord

Les autorités gouvernementales américaines ont averti cette semaine que le groupe APT nord-coréen Hidden Cobra avait lancé une autre cyberattaque dangereuse utilisant une nouvelle forme de malware. Selon l'équipe américaine de préparation aux urgences informatiques (US-CERT), le nouveau malware cible des victimes de premier plan , comme de grandes entreprises aux États-Unis et dans le monde, la nouvelle menace n'étant en aucun cas moins puissante que les attaques précédemment connues. dans le cadre de la campagne Hidden Cobra au cours des dernières années. Les acteurs à l'origine de ces attaques tentent d'extraire des informations sensibles et propriétaires. Cependant, les outils malveillants qu'ils distribuent peuvent également perturber les opérations régulières des machines infectées et désactiver les fichiers.

Surnommé Typeframe, le nouveau malware détecté par le Department of Homeland Security (DHS) a à peu près les mêmes fonctionnalités que les autres menaces implémentées par le groupe de piratage auparavant. À savoir, Typeframe est capable de modifier les règles de pare-feu, de télécharger et d'exécuter des charges utiles supplémentaires et d'attendre les instructions d'un serveur de contrôle à distance. Selon le rapport publié par le DHS, 11 échantillons de logiciels malveillants différents ont été découverts et se composent de fichiers exécutables Windows 32 bits et 64 bits. Parmi les éléments découverts, il y a également un document Microsoft Word contenant des macros qui servent au déploiement réel du malware sur les machines cibles.

Deux familles de logiciels malveillants ont été attribuées par les autorités américaines au groupe Hidden Cobra dans le passé: un outil d'accès à distance (RAT) nommé Joanap et un Server Message Block (SMB) baptisé Brambul.

Une recherche conjointe du DHS et du FBI a montré que les adresses IP et les autres indicateurs de compromission de ces deux menaces précédentes pointent vers des logiciels malveillants généralement développés par le gouvernement de la Corée du Nord. Selon un avertissement diffusé à la fin du mois de mai de cette année, les deux campagnes sont actives depuis au moins 2009 et leur activité a consisté principalement à suivre les ordinateurs infectés dans le monde. Les victimes de ce cyberespionnage proviennent de divers secteurs de l'économie, comme les infrastructures, les médias, les finances, l'aérospatiale et bien d'autres. Parmi les pays touchés par les violations figurent la Belgique, la Chine, l'Arabie saoudite, l'Espagne, la Suède, l'Argentine et Taïwan.

Les experts avertissent que ce type de malware infecte les systèmes sans préavis des utilisateurs et des propriétaires, et si l'application malveillante parvient à sécuriser sa persistance sur les machines affectées, elle peut se déplacer sur l'ensemble du réseau et infecter d'autres appareils connectés.