US-CERT ostrzegło o aktywności Korei Północnej w cyberprzestrzeni, określane jako HIDDEN COBRA.
Ostatnia aktywność wykorzystuje malware DeltaCharlie, opisany przez firme Novetta w raporcie „Operation Blockbuster Malware Report”, a stworzony przez grupę Lazarus. Malware jest używany do zbudowania botnetu, używanego do ataku DDoS i jest przemycany dzięki następującym podatnościom w starszych, nieaktualizowanych systemach:
CVE-2016-4117 Adobe Flash (aktualizacja: https://helpx.adobe.com/security/products/flash-player/apsb16-15.html)
CVE-2016-1019 Adobe Flash (aktualizacja: https://helpx.adobe.com/security/products/flash-player/apsb16-10.html)
CVE-2016-0034 Silverlight (aktualizacja: https://technet.microsoft.com/library/security/MS16-006)
CVE-2015-8651 Adobe Flash (aktualizacja: https://helpx.adobe.com/security/products/flash-player/apsb16-01.html)
CVE-2015-6585 Hancom Hangul Word Processor (koreański program biurowy)
Ataki DDoS wykorzystują protokoły NTP, DNS i Carrier-Grade NAT/ chargen (rozbieżność: Novetta podaje ten pierwszy, US-CERT podaje chargen – RFC 864)
Malware uruchamia usługę bazującą na svchost: netplug
Następnie sprawdza mutex Global\NetplugDiscovery0.7
Dalej, umieszcza log z wykonanymi akcjami w %SYSDIR%\catroot2\edbchk.log (używa go, żeby wiedzieć na jakim jest etapie ataku)
W końcu łączy się z kaskadą serwerów C&C (od kolejnego dostaje adres do następnego), pobiera komendy do ataku zakodowane MD5 i szyfrowane kluczem RSA i wykonuje atak.