3 nuevos programas maliciosos utilizados por atacantes norcoreanos

En el 3er aniversario del infame brote global de ransomware WannaCry por el que se culpó a Corea del Norte, el gobierno de EE. UU. Divulgó información sobre tres nuevas cepas de malware utilizadas por piratas informáticos norcoreanos patrocinados por el estado.

Llamadas COPPERHEDGE, TAINTEDSCRIBE y PEBBLEDASH, las variantes de malware son capaces de reconocimiento remoto y exfiltración de información confidencial de los sistemas objetivo, según un aviso conjunto publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigación (FBI) y el Departamento de Defensa (DoD).

Las tres nuevas cepas de malware son la última incorporación a una larga lista de más de 20 muestras de malware , incluidas BISTROMATH, SLICKSHOES, HOPLIGHT y ELECTRICFISH , entre otras, que han sido identificadas por las agencias de seguridad como originadas como parte de una serie de cyber maliciosos. actividad del gobierno de Corea del Norte que se llama Hidden Cobra , o ampliamente conocida por el apodo Lazarus Group.

Troyanos con todas las funciones

COPPERHEDGE , la primera de las tres nuevas variantes, es una herramienta de acceso remoto (RAT) con todas las funciones capaz de ejecutar comandos arbitrarios, realizar el reconocimiento del sistema y extraer datos. Los actores de amenazas avanzadas lo están utilizando para apuntar a intercambios de criptomonedas y entidades relacionadas. Se han identificado seis versiones diferentes de COPPERHEDGE.

TAINTEDSCRIBE funciona como un implante de puerta trasera que se hace pasar por la utilidad del lector de pantalla Narrador de Microsoft para descargar cargas maliciosas de un servidor de comando y control (C2), cargar y ejecutar archivos, e incluso crear y finalizar procesos.

Por último, PEBBLEDASH, como TAINTEDSCRIBE, es otro troyano con capacidades para "descargar, cargar, eliminar y ejecutar archivos; habilitar el acceso a la CLI de Windows; crear y finalizar procesos; realizar la enumeración del sistema de destino".

Una importante amenaza de ciberespionaje

La infección de ransomware WannaCry de 2017, también conocida como Wanna Decryptor, aprovechó un exploit de Windows SMB , denominado EternalBlue, que permitió a un hacker remoto secuestrar computadoras Windows sin parches a cambio de pagos de Bitcoin de hasta $ 600. El ataque ha sido rastreado hasta Hidden Cobra.

Con el Grupo Lazarus responsable del robo de criptomonedas por valor de más de $ 571 millones de los intercambios en línea, los ataques con motivación financiera llevaron al Tesoro de los Estados Unidos a sancionar al grupo y sus dos disparos, Bluenoroff y Andariel, en septiembre pasado.

Luego, a principios de marzo, el Departamento de Justicia de los Estados Unidos (DoJ) acusó a dos ciudadanos chinos que trabajaban en nombre de los actores de la amenaza norcoreana de supuestamente lavar más de $ 100 millones en criptomonedas robadas usando tarjetas de regalo prepagas de Apple iTunes.

El mes pasado, el gobierno de sobre la 'amenaza cibernética significativa' que los hackers patrocinados por el estado de Corea del Norte plantean a las instituciones bancarias y financieras mundiales, además de ofrecer una recompensa monetaria de hasta $ 5 millones por información sobre el pasado o el presente actividades ilícitas de la RPDC en el ámbito cibernético. EE. UU. Emitió una guía

"Las actividades cibernéticas maliciosas de la RPDC amenazan a Estados Unidos y a la comunidad internacional en general y, en particular, representan una amenaza significativa para la integridad y la estabilidad del sistema financiero internacional", advirtió el aviso .

"Bajo la presión de fuertes sanciones de Estados Unidos y la ONU, la RPDC ha dependido cada vez más de actividades ilícitas, incluido el delito cibernético, para generar ingresos por sus armas de destrucción masiva y sus programas de misiles balísticos".

Vía:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta