بد افزار Electric Fish
FBI و United States Department of Homeland Security)DHS) در مورد بد افزار جدید استفاده شده توسط گروهی در کره شمالی هشدار دادند ، این گروه با نام Lazarus نیز شناخته می شود. این بار ابزار های این بد افزار برای مخفی کردن ترافیک ها از دید سیستم های آلوده شده مورد استفاده قرار می گیرند.
این بد افزار برای برقراری ترافیک بین دو آی پی آدرس، پروتکل سفارشی را پیاده سازی می کند. گزارشات Malware Analysis Report) MAR) نشان دهنده یک فایل اجرایی ویندوز 32 مخرب است.
این گزارش شامل indicators of compromise)IoC) نیز می باشد که همچنین اقدامات واکنشی و تکنیک هایی را برای کاهش این بدافزارها پیشنهاد می کند.
IoC ها شامل داده هایی می باشند که حملات و فعالیت های مخربی را که بر روی یک سیستم یا شبکه اتفاق افتاده شناسایی می کنند همچنین می تواند در آینده برای جلوگیری از حملات مشابه استفاده شوند.
این بد افزار، یک ابزار خط فرمان است که به عنوان آرگومان های آی پی آدرس مقصد، آی پی آدرس مبدأ، آی پی آدرس پروکسی و پورت هایشان همراه با یک نام کاربری و گذرواژه برای تأیید هویت سرور پروکسی مورد استفاده قرار می گیرد.
US-CERT بیان کرد که ” تلاش آن ها برای ایجاد نشست TCP همراه با آی پی آدرس مبدأ و مقصد است. اگر اتصال به آی پی آدرس مبدأ و مقصد برقرار شود، این ابزار مخرب یک پروتکل سفارشی را اجرا می کند که به ترافیک اجازه می دهد تا به سرعت و به طور موثر بین دو ماشین درو بدل شود. در صورت لزوم، بدافزار می تواند با استفاده از یک پروکسی برای رسیدن به آی پی آدرس مقصد تأیید اعتبار کند.”