Un aviso conjunto publicado por agencias de EE. UU. Revela tres nuevos programas maliciosos de Corea del Norte llamados COPPERHEDGE, SUSCRIBIRSE, y PEBBLEDASH.
Los informes se publican en línea en el sitio CERT de EE. UU. E incluyen no solo una descripción, sino también un análisis de malware de las muestras recopiladas. Según las autoridades, estos virus han sido utilizados por el gobierno de Corea del Norte.
El malware de Corea del Norte golpeó una vez más: El descubrimiento de tres nuevos virus
Las autoridades de EE. UU. Publicaron información sobre tres nuevos programas maliciosos de Corea del Norte en un informe conjunto en el sitio estadounidense CERT. Los datos publicados en el análisis son revelados por agencias clave, incluido el Departamento de Seguridad Nacional, el Departamento de Defensa y el FBI. Han descubierto y monitoreado las campañas de ataque para recopilar registros sobre el comportamiento del malware y luego producir los análisis que se muestran..
Los detalles sobre el malware que se supone que se originan en Corea del Norte es que se lanzan en ataques coordinados a gran escala.. La mayoría de ellos incluyen módulos avanzados que causan mucho daño a las redes contaminadas.. Los virus de Corea del Norte generalmente se establecen contra agencias gubernamentales extranjeras y grandes empresas, la mayoría de ellos no están destinados a infectar a usuarios finales de computadoras simples. Debido al hecho de que el malware de Corea del Norte es tres y se lanzó en una campaña dirigida que los investigadores de seguridad lo han denominado como COBRA OCULTA.
1. COPPERHEDGE: Una herramienta de acceso remoto de malware
Las autoridades estadounidenses revelan que el primer virus en la campaña COBRA OCULTA llamado COPPERHEDGE se distribuye en varias variantes y se usa junto con servidores proxy. El objetivo principal es mantener una presencia de malware en las redes de víctimas y realizar exploits de red adicionales.. En este momento los dominios a través de los cuales opera incluye un total es 42. La primera variante es un archivo DLL de 32 bits que utiliza el cifrado RC4 para ofuscar cadenas que se entregan al sistema. Esto incluye las cadenas HTTP utilizadas para comunicarse con los servidores remotos controlados por piratas informáticos. Junto con esto, una manipulación de caracteres de las cadenas a los administradores de red les puede resultar más difícil distinguir una infección activa..
El incluido función de puerta trasera se encuentra en otras variantes también — las diferencias están en los archivos que se usan como cargas útiles. El análisis de las amenazas asociadas con la RATA COPPERHEDGE ha permitido a las autoridades estadounidenses enumerar las capacidades maliciosas.:
- Recuperar información del sistema — Esta acción reunirá información del sistema sobre las computadoras cosechadas.
- Recopila información de unidades — Esto enumerará los discos duros conectados y enviará esa información a los piratas informáticos.
- Establecer opciones de configuración — Esta acción de malware dirigirá a las computadoras a modificar las opciones y los archivos de configuración..
- Recuperar opciones de configuración — Esto descargará los archivos de configuración dados.
- Mantener viva — Esto ordenará a la puerta trasera COPPERHEDGE que mantenga viva la conexión enviando señales de red constantes..
- archivo poner — Esto cargará un archivo a las computadoras contaminadas.
- Proceso de creación — Esto creará un proceso en el que se cargará el proceso de malware.
- Ejecutar línea de comando — Esto ejecutará un cierto comando en la línea de comando.
- ZIP Get File — Esto recuperará archivos en forma de archivo ZIP.
- Lista de procesos — Esto enumerará los procesos activos en la computadora dada.
- Matar proceso — Esto matará un proceso en ejecución.
- Hibernar — Esto hará que el sistema hiberne.
- Desconectar — Esto interrumpirá la conexión..
- Test Connect — Esto probará la conexión de red.
Una característica distintiva de una de las otras variantes del malware COPPERHEDGE es que se hace pasar por un Cookie de Google Analytics — esto se hace copiando el formato estándar utilizado por Google y modificándolo en consecuencia. Otra versión también recuperará otros datos del sistema, incluido el espacio libre en el disco duro y las marcas de tiempo de los datos.
Troyano de TAINTEDSCRIBE: Un arma avanzada de malware
Este es el principal malware que forma parte de la campaña HIDDEN COBRA. Los informes de los Estados Unidos dicen que incluye el módulo de instalación persistente avanzado. Esto colocará el archivo de virus en la carpeta de Inicio usando el Nombre de Narrator.exe. Una sola instancia puede tener un total de 5 Direcciones IP e intentar una conexión a ella. Si falla una conexión, el motor principal esperará 60 segundos antes de intentar conectarse a la siguiente dirección en línea.
Cuando se realiza una conexión, seguirá un proceso de autenticación y cuando se complete, el troyano descargará otro módulo que es responsable de la ejecución de los comandos. El malware TAINTEDSCRIBE iniciará la conexión de Troya utilizando un Certificado TLS FALSO — esto simulará una conexión confiable que no generará ninguna conciencia por parte de los administradores de red.
El módulo realizará un apretón de manos con los servidores controlados por piratas informáticos y luego enviar información del sistema que ha sido recolectado por el malware. Esto incluye nombres de servicio, opciones de configuración del sistema operativo actual y etc.. También cuenta con un archivos extensos y manipulación de procesos habilidad que es similar a la RATA COPPERHEDGE. Esto incluye la capacidad de cargar archivos a los hosts, robar datos de usuario y también modificar archivos existentes. Ejecución de comandos, así como también se incluye el inicio y la detención de procesos.
Troyano PEBBLEDASH: Un troyano secundario de Corea del Norte
Este troyano no es muy diferente de TAINTEDSCRIBE en su funcionalidad. Incluye prácticamente las mismas capacidades. El análisis de malware muestra que se importa a sí mismo en archivos DLL utilizados por aplicaciones y API. Usando cadenas ofuscadas, el troyano podrá ocultar su actividad de red. Se utiliza un módulo programado de Python para descifrar el código principal.. Una vez más un falso certificado TLS se implementa lo que evitará los escaneos de seguridad de la red. Como resultado, las conexiones aparecerán como de servicios y empresas conocidos..
El malware de Corea del Norte en aumento: Otra campaña más peligrosa
El ataque HIDDEN COBRA muestra que los grupos de piratería de Corea del Norte continúan lanzando campañas bien organizadas.. Lo más inquietante de estos ataques es que usan malware personalizado que se usan específicamente para las campañas. Por otro lado, los objetivos se investigan cuidadosamente para aumentar las posibilidades de infección..
Es posible que se inicien las próximas infecciones.. Cada vez que los norcoreanos pueden utilizar nuevas estrategias y tácticas para entrometerse en las redes. Hay muchas razones por las cuales se hacen estas infecciones., Troyanos como estos se crean principalmente por las siguientes razones:
- Sabotaje - Como los troyanos permiten que los piratas informáticos tomen el control de los dispositivos infectados, los piratas informáticos pueden eliminar datos confidenciales y ejecutar comandos remotos deliberadamente para mal funcionamiento.
- El robo de datos & Espionaje - Los piratas informáticos también pueden robar información confidencial del usuario y del sistema. Los troyanos están configurados con la capacidad de sondear los sistemas para los discos duros conectados, esto también se puede extender a los recursos compartidos de red disponibles que permiten que los datos en la red interna también sean accesibles. Espiar a los usuarios víctimas incluirá no solo la recolección de sus datos, pero también monitoreando el portapapeles y el movimiento del mouse y las teclas e interacciones.
- Extorsión - Las infecciones producidas pueden usarse para chantajear a las víctimas., Esto es especialmente peligroso cuando las grandes corporaciones están involucradas.
Todas estas acciones muestran que los administradores de seguridad deben tomar las precauciones necesarias y proteger sus redes lo mejor que puedan.. Puede encontrar más información en la página de asesoramiento oficial..