El US-CERT ha lanzado una alerta técnica conjunta del DHS y el FBI, advirtiendo sobre dos nuevos tipos de malware detectados que están siendo utilizados por el prolífico grupo pirata informático APT norcoreano conocido como Hidden Cobra.
Se cree que Hidden Cobra, a menudo conocida como Lazarus Group y Guardians of Peace, está respaldada por el gobierno de Corea del Norte y conocida por lanzar ataques contra organizaciones de medios de comunicación, aeroespaciales, sectores financieros y de infraestructura crítica en todo el mundo.
El grupo incluso se asoció con la amenaza WannaCry ransomware que el año pasado cerró hospitales y negocios en todo el mundo. Según los informes, también está relacionado con el hackeo de Sony Pictures 2014, así como con el ataque SWIFT Banking en 2016.
Ahora, el Departamento de Seguridad Nacional (DHS) y el FBI han descubierto dos nuevos tipos de malware que Hidden Cobra ha utilizado desde al menos 2009 para atacar a empresas que trabajan en los sectores de medios, aeroespacial, financiero y de infraestructura crítica en todo el mundo.
El malware que Hidden Cobra está utilizando es: acceso remoto Troyano (RAT) conocido como Joanap y el gusano de bloque de mensaje de servidor (SMB) llamado Brambul. Veamos los detalles del malware uno por uno.
Troyano de acceso remoto Joanap-A
Según la alerta de US-CERT, Joanap es un malware de dos etapas que establece comunicaciones entre pares y administra botnets diseñadas para permitir otras operaciones maliciosas.
El malware generalmente infecta el sistema con un archivo entregado por otro malware, que los usuarios descargan sin saberlo cuando visitan sitios web comprometidos por los actores de Hidden Cobra, o cuando abren archivos adjuntos de correo electrónico maliciosos.
Brambul-An SMB Worm
Brambul es un gusano de autenticación de fuerza bruta que, al igual que el devastador ransomware WannaCry, abusa del protocolo del bloque de mensajes del servidor (SMB) para propagarse a otros sistemas.
«Cuando se ejecuta, el malware intenta establecer contacto con los sistemas de víctimas y las direcciones IP en las subredes locales de las víctimas», señala la alerta.
«Si tiene éxito, la aplicación intenta obtener acceso no autorizado a través del protocolo SMB (puertos 139 y 445) lanzando ataques de contraseña de fuerza bruta usando una lista de contraseñas incorporadas. Además, el malware genera direcciones IP aleatorias para futuros ataques».