El US-CERT, junto con el DHS y el FBI,
ha lanzado una alerta advirtiendo de dos nuevos malwares utilizados por el
grupo de ciberdelincuentes 'Hidden Cobra'.
Este grupo, a menudo conocido como
'Lazarus Group' o 'Guardians of Peace', está respaldado por el gobierno de
Corea del Norte y es conocido por lanzar ataques contra organizaciones de
medios de comunicación, aeroespaciales, de sectores financieros y a
infraestructuras críticas en todo el mundo.
Los malwares descubiertos de los que
están haciendo uso son: un RAT conocido como Joanap y un gusano denominado Brambul.
Joanap
- Remote Access Trojan
Según alertan, se trata de un malware
de dos estapas que establece comunicaciones entre pares y botnets para permitir
operaciones maliciosas.
Este troyano generalmente infecta un
sistema como un archivo entregado por otro malware, que los usuarios descargan
sin saberlo cuando visitan webs comprometidas por los componentes del grupo
'Hidden Cobra', o cuando abren archivos adjuntos de correos electrónicos
maliciosos.
Joanap recibe comandos remotamente
desde un C&C controlado por el grupo de ciberdelincuentes, que les da la
capacidad de robar datos, instalar y ejecutar más archivos maliciosos e
inicializar comunicaciones de proxy en un dispositivo Windows comprometido.
Otras funcionalidades son la
administración de archivos y procesos, creación y eliminación de directorios,
administración de botnets y administración de nodos.
Durante el análisis de la
infraestructura se ha encontrado este malware en 87 nodos de red comprometidos
en 17 países.
Brambul
- SMB Worm
Brambul es un gusano de autenticación
de fuerza bruta que, al igual que el conocido ransonware WannaCry, abusa del
protocolo de mensajes del servidor (SMB) para propagarse a otros sistemas.
Cuando se ejecuta, el malware intenta
establecer contacto con los sistemas de las víctimas y las direcciones IP de
las subredes locales. Si tiene éxito, la aplicación intenta obtener acceso no
autorizado a través de SMB lanzando ataques de diccionario con una lista de
contraseñas incorporada.
Una vez que Brambul consigue acceso,
el malware transmite información de los sistemas vulnerados a los componentes
del grupo 'Hidden Cobra' mediante correo electrónico. Esta información incluye:
IP, nombre de host, usuario y contraseña.
Los ciberdelincuentes pueden utilizar
la información robada para acceder al sistema comprometido a través del
protocolo SMB.
El DHS recomienda a los
administradores de sistemas mantener sus equipos y software actualizado,
realizar escaneos con su Antivirus, desactivar SMB y prohibir ejecutables
desconocidos.
Más
información:
·
Alerta
del US-CERT: https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity
Fuente: Hispasec.com