FBI waarschuwt voor Hoplight-malware uit Noord-Korea

De FBI en het Amerikaanse Ministerie van Homeland Security betichten de Noord-Koreaanse overheid van de inzet van malware.

Het gaat om een Trojaans paar met de naam Hoplight. Er zijn negen variaties van deze kwaadaardige uitvoerbare bestanden in omloop.

Hoplight-bestanden

De malware vergaart informatie over het systeem van het slachtoffer, zoals Windowsversie, systeemschijven, systeemtijd en andere gegevens. Tevens kan de kwaadaardige software data ontvreemden en additionele malware installeren, alsook verbinding maken met een remote host. De meeste Hoplight-bestanden zijn proxy-applicaties die het verkeer tussen de malware en de aanvallers camoufleren. De proxies kunnen via publieke geldige TLS-certificaten valse TLS-handshakesessies creƫren.

Lazarus Group

In de waarschuwing over Hoplight verstrekt de FBI Indicators Of Compromise (IOCs). Dit zijn aanwijzingen waarmee de aanwezigheid van een specifieke dreiging binnen het netwerk kan worden geconstateerd. Daarbij gaat het bijvoorbeeld om IP-adressen, Whois-gegevens, hashes, bestandsnamen, Yara-rules en anti-virusbenamingen. Volgens het United States Computer Emergency Readiness Team (US-CERT) is Hoplight afkomstig van de Lazarus Group, ook bekend onder de naam Hidden Cobra. De Noord-Koreaanse regering zou schuilgaan achter deze hackersgroep.

Aanmelden voor onze nieuwsbrief