27 января 2025 года в социальной сети @smica83 был опубликован образец, который многие эксперты идентифицировали как северокорейский бэкдор, связанный с известной хакерской группой Lazarus. Этот инцидент подчеркивает продолжающуюся эволюцию и сложность киберугроз, исходящих из Северной Кореи. Образец, представляющий собой исполняемый файл с именем iconcache.tmp.pif, подтвержден как вариант бэкдора PEBBLEDASH, получивший хэш SHA2:d0a41dfe8f5b5c8ba6a5d0bdc3754543210ec2d36290564d9a774e9d22e3ad97.
Детали обнаруженного бэкдора
Согласно данным, собранным на платформе VirusTotal, были выявлены два дроппера, которые ведут к исполняемому файлу. Особенно примечателен один из них, идентифицированный по хэшу 6744ca5d49833c9b90aee0f3be39d28dec94579b028b05c647354ec5e1ab53e1. Этот дроппер представляет собой 64-разрядный исполняемый файл, замаскированный под PDF-документ с названием «Регулярное техническое обслуживание Oracle (Сео Мен Ван), январь 2025.pdf».
Документ якобы содержит законный ежемесячный отчет от южнокорейского производителя ветряных турбин Unison Co Ltd., что делает его привлекательным для жертв. После выполнения дроппера, бэкдор активируется и устанавливает постоянное присутствие в системе, добавляя себя в реестр.
Работа бэкдора PEBBLEDASH
При запуске бэкдора с аргументом --start он избегает выполнения своих основных функций и вместо этого обеспечивает постоянство. Если же он запускается без аргументов, он выполняет свою основную логику.
Основные функции бэкдора включают:
- Проверка аргументов с использованием хэширования FNV1-a для распознавания API;
- Подключение к серверу управления (C2) через структуры Winsock;
- Скрытие исходящих запросов с помощью общей строки пользовательского агента;
- Выполнение до 14 различных команд, находящихся в командном цикле.
Домен C2, используемый бэкдором, расшифровывается как http://www.addfriend.kr/board/userfiles/temp/index.html. При подключении к C2 бэкдор анализирует HTML-ответы и управляет выводом выполняемых команд, используя файлы с префиксом «PMS» во временном каталоге.
Угрозы и эволюция PEBBLEDASH
Документация по PEBBLEDASH указывает на постоянное развитие и обновление этого варианта вредоносного ПО. Наблюдаемое сходство между текущей и более ранними версиями подчеркивает эволюцию угрозы с течением времени. Методики шифрования и функциональные возможности остаются все более сложными, что делает этот бэкдор серьезной угрозой в сфере кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Северокорейский бэкдор PEBBLEDASH: новый виток угрожающей эволюции".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.