Hackers da Coreia do Norte preparam o malware destrutivo Sharpknot

Hackers Hidden Cobra  da Coreia do Norte preparam o malware destrutivo Sharpknot



Hackers  Coreia do Norte

Hackers Hidden Cobra  da Coreia do Norte


O US-CERT emitiu um alerta sobre o trojan apelidado de Sharpknot que limpa o MBR (Master Boot Record) e arquivos em máquinas infectadas. 


O malware destrutivo é a última ferramenta supostamente do grupo hacker de Pyongyang, Hidden Cobra, objeto de uma longa investigação pelo Centro Nacional de Integração da Comunicação e Segurança Cibernética dos EUA (NCCIC) e pela Cyber ​​Watch (CyWatch) do FBI. 

O US-CERT alertou que os usuários e administradores devem dar à atividade associada ao Sharpknot a “prioridade mais alta para a atenuação aprimorada”, pois as máquinas Windows serão “inoperantes” se cada etapa for executada com sucesso. 


O malware é projetado para "destruir um sistema Windows comprometido", de acordo com a US-CERT. Primeiro substitui o registro mestre de inicialização (MBR) excluindo arquivos no sistema local, compartilhamentos de rede mapeados e qualquer armazenamento conectado fisicamente aos dispositivos. 

Curiosamente, antes de sobrescrever o MBR, uma das primeiras coisas que o Sharpknot tenta após a execução é desabilitar um serviço de segurança chamado "Alerter" que estava presente no Windows XP, mas foi descartado após o Windows Server 2003. O malware precisa ser executado a partir da linha de comando e também tenta desabilitar o serviço “ System Event Notification ”. 

Depois que esses serviços estiverem desabilitados, o malware tentará substituir o MBR e exibirá um status "OK" na janela de comando (CMD), caso tenha sido bem-sucedido ou o status "Falha" não tenha sido possível.

"Depois que o MBR é substituído, o malware tenta obter acesso a unidades físicas e de rede conectadas ao sistema da vítima e enumerar recursivamente através do conteúdo da unidade", escreve o US-CERT. 

"Quando o malware identifica um arquivo, ele substitui o conteúdo do arquivo por bytes NULL, renomeia o arquivo com um nome de arquivo gerado aleatoriamente e, em seguida, exclui o arquivo, impossibilitando a recuperação .

O Sharpknot é a oitava ferramenta supostamente criada pelo Grupo Hidden Cobra , da qual a US-CERT escreveu desde seu lançamento inicial em junho de 2017 sobre infraestrutura de botnet DDoS do grupo . 

Outros incluem o Delta Charlie, uma ferramenta para controlar a infraestrutura de DDoS; o backdoor Volgmer; FALLCHILL, uma ferramenta de acesso remoto usada para segmentar os setores aeroespacial, de telecomunicações e financeiro; BADCALL, que transforma máquinas infectadas em um servidor proxy; e HARDRAIN, um conjunto de ferramentas que usa um servidor proxy e imita sessões TLS criptografadas.

Comentários

Recentes