El Comando Cibernético de EE. UU., El DHS y el FBI exponen el nuevo malware de Corea del Norte


cybercom-hv.jpg

Imagen vía Cyber ​​National Mission Drive (CNMF)

El Comando Cibernético de EE. UU., El Departamento de Seguridad Nacional y la Oficina Federal de Investigaciones han expuesto hoy una nueva operación de piratería de Corea del Norte.

Las autoridades han publicado avisos de seguridad que detallan seis nuevas familias de malware que los hackers norcoreanos están utilizando actualmente.

Según la cuenta de Twitter de la Fuerza de Misión Nacional Cibernética (CNMF), una unidad subordinada del Comando Cibernético de EE. UU., El malware se distribuye a través de una campaña de phishing de Corea del Norte.

El Comando Cibernético de los EE. UU. Cree que el malware se utiliza para proporcionar a los piratas informáticos de Corea del Norte acceso remoto a los sistemas infectados para robar fondos que luego se transfieren a Corea del Norte, como una forma de evitar sanciones económicas.

El gobierno de Corea del Norte tiene una larga historia de uso de piratas informáticos para robar fondos de bancos e intercambios de criptomonedas con el fin de evadir sanciones económicas y recaudar fondos para sus programas de armas nucleares y misiles.

En septiembre de 2019, el Departamento del Tesoro de los Estados Unidos impuso sanciones al régimen de Pyongyang por el uso de esta táctica exacta.

Seis nuevas familias de malware de Corea del Norte

Junto con la alerta de Twitter enviada por el Comando Cibernético de EE. UU., La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS también ha publicado hoy informes detallados en su sitio world-wide-web.

Los informes proporcionan un análisis en profundidad de las seis nuevas muestras de malware que las autoridades estadounidenses han estado rastreando recientemente. Son:

  • BISTROMATH – descrito como «una RAT con todas las funciones»
  • SLICKSHOES – descrito como un dropper de malware (cargador)
  • FLOUNDER AGOTADO – descrito como un «ejecutable de Home windows de 32 bits, que está diseñado para desempaquetar y ejecutar un binario de troyano de acceso remoto (RAT) en la memoria».
  • HOTCROISSANT – descrito como «un implante de balizamiento con todas las funciones» utilizado para «realizar encuestas del sistema, cargar / descargar archivos, ejecutar procesos y ejecutar comandos, y realizar capturas de pantalla».
  • ARTFULPIE – descrito como «un implante que realiza la descarga y la carga en memoria y la ejecución de una DLL desde una URL codificada».
  • BUFFETLINE – descrito como «un implante de balizamiento con todas las funciones» que puede «descargar, cargar, eliminar y ejecutar archivos habilitar el acceso a la CLI de Windows crear y terminar procesos y realizar la enumeración del sistema de destino».

UN séptimo informe actualiza la información sobre HOPLIGHT, un troyano de puerta trasera basado en proxy que el DHS y el FBI expusieron en abril del año pasado.

CISA atribuye malware al Grupo Lazarus

CISA atribuyó el malware a un grupo de piratería respaldado por el gobierno de Corea del Norte conocido como Concealed COBRA.

Este grupo, también conocido bajo el nombre de Lazars Team, es la división de piratería más grande y activa de Corea del Norte.

Anteriormente, el Departamento de Justicia acusó a un miembro de este grupo por su participación en varios incidentes de seguridad, incluido el hackeo de Sony 2014, el ataque al banco de Bangladesh en 2016 y por orquestar el brote de ransomware WannaCry en mayo de 2017.

En una captura de pantalla compartida con ZDNet, miembro de Kaspersky Excellent, la unidad de caza de hackers de élite de Kaspersky, señaló que las muestras de malware también compartían código con otras cepas de malware de Corea del Norte utilizadas en operaciones anteriores, lo que confirma efectivamente la atribución de CISA / FBI / Cyber ​​Command.

kaspersky-similarities.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/02/14/aaa913aa-7dae-41ac-89db-9fdd7cbd6a0e/kaspersky-similarities.png

Imagen: Kaspersky (suministrado)

Enfoque continuo de nombrar y avergonzar

Las revelaciones de hoy marcan solo un paso más en el nuevo enfoque del gobierno de EE. UU. Para manejar las operaciones de seguridad cibernética extranjeras realizadas contra objetivos estadounidenses.

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Mientras que en años anteriores el gobierno de EE. UU. Ha evitado decir algo sobre ataques contra entidades gubernamentales y el sector privado, recientemente adoptaron un enfoque de «nombre y vergüenza».

Anteriormente, esto incluía alertas de seguridad en los sitios world-wide-web de DHS / CISA y casos legales presentados por el Departamento de Justicia, pero esto se expandió recientemente al uso de sanciones del Departamento de Tresury y comunicados de prensa de la Casa Blanca que llamaban ataques cibernéticos orquestados en el extranjero.

En noviembre de 2018, el enfoque de nombre y vergüenza también agregó una nueva táctica cuando el Comando Cibernético de EE. UU. Comenzó a cargar «muestras de malware no clasificadas» en VirusTotal y anunció las cargas a través de una cuenta de Twitter.

Las muestras iniciales se vincularon con grupos de piratería rusos e iraníes.

Posteriormente, el Comando Cibernético de EE. UU. También comenzó a cargar muestras de malware relacionadas con la actividad de piratería de Corea del Norte, en agosto, septiembrey Noviembre 2019.

Sin embargo, en ninguno de los casos anteriores, el Comando Cibernético de EE. UU. Ha atribuido alguna muestra de malware a un actor estatal, dejando la atribución a expertos de empresas privadas de seguridad cibernética.

Como Cyberscoop señaló hoy, esta es la primera vez que el Comando Cibernético de EE. UU. ha vinculado públicamente una de estas muestras de malware a un propio actor de un estado-nación, en lugar de depender del sector privado.

El sector privado debe actuar

Pero el propósito de las advertencias de seguridad de hoy period crear conciencia sobre las campañas de piratería de Corea del Norte en curso.

Los seis + uno avisos de seguridad de CISA incluyen indicadores de compromiso (COI) y reglas de YARA para ayudar a las empresas y organizaciones gubernamentales a buscar en las redes internas cualquier signo de malware de Corea del Norte.

De acuerdo a CyberscoopLos funcionarios estadounidenses también han enviado alertas de seguridad privada al sector privado de los EE. UU. Antes de la divulgación pública de hoy, instando a las empresas a investigar la amenaza actual.

Se desconoce la escala de los ataques actuales de Corea del Norte contra objetivos estadounidenses, pero a juzgar por las tres exposiciones similares del año pasado, se cree que los ataques de Corea del Norte están en una ola constante.

Desde 2018 el DHS ha emitido 23 informes sobre malware de Corea del Norte. La agencia publicó previamente informes sobre WannaCry, DeltaCharlie (dos informes), Volgmer, FALLCHILL, BANKSHOT, BADCALL, HARDRAIN, SHARPKNOT, un troyano / gusano de acceso remoto sin nombre, Joanap y Brambul, TYPEFRAME, KEYMARBLE, FASTCash (dos informes), y el informe anterior HOPLIGHT.

En enero de 2019, el Departamento de Justicia, el FBI y la Fuerza Aérea de EE. UU. También intervinieron para derribar la botnet Joanap, que se cree que fue construida por piratas informáticos norcoreanos para ayudar en sus operaciones y servir como una purple de representantes para disfrazar el origen de su ataques



Enlace a la noticia initial