LEBIGDATA.FR I.A, Cloud & Cybersécurité
Electricfish est un nouveau malware utilisé par les hackers du Corée du Nord pour dérober les données de leurs victimes. Ce logiciel malveillant vient d'être découvert et révélé par le FBI et le DHS des Etats-Unis.
Le FBI et le DHS annoncent avoir découvert un nouveau malware utilisé par les hackers du groupe nord-coréen Lazarus pour exfiltrer les données de leurs victimes. Selon le MAR (malware analysis report) AR19-129A publié sur le site web US-CERT du gouvernement américain, ce malware intitulé ELECTRICFISH a été détecté en suivant les activités malveillantes du groupe de hackers Lazarus, soutenu par le gouvernement de Corée du Nord, et aussi connu sous le nom de HIDDEN COBRA, Guardians of Peace, ZINC ou encore NICKEL ACADEMY.
Le rapport publié conjointement par le FBI et le DHS vise à permettre la défense du réseau et à » réduire l'exposition aux cyberactivités malveillantes du gouvernement nord-coréen « . Des prises de mesures et des techniques de mitigation y sont recommandées.
La Corée du Nord détourne le trafic internet de ses cibles grâce à Electricfish
ElectricFish is the latest in a series of alerts released by CISA & the FBI on malicious cyber activity by the North Korean government called Hidden Cobra. Learn more here: https://t.co/jLV6DpPLkb
— Cybersecurity (@cyber) 9 mai 2019
Les utilisateurs et administrateurs qui détectent des activités associées au malware sont invités à rapporter cette activité à la CISA (Cybersecurity and Infrastructure Security Agency) ainsi qu'au FBI Cyber Watch (CyWatch).
Ce rapport comporte aussi une analyse détaillée d'un fichier exécutable 32-bit infecté par ELECTRICFISH. Ce malware implémente un protocole custom permettant au trafic d'être détourné entre la source et l'adresse IP de destination.
Les hackers peuvent configurer le malware à l'aide d'un serveur ou d'un port proxy et d'identifiants proxy. Ceci permet de connecter à un système situé au sein du serveur proxy, et donc de contourner le système d'authentification du système infecté. Il devient alors possible d'établir une connexion entre l'adresse IP source et l'adresse IP de destination. Les hackers sont alors en mesure de transférer les informations collectées sur les ordinateurs compromis vers les serveurs qu'ils contrôlent…
- Partager l'article :
