El Gobierno de EE.UU. ha publicado un informe de seguridad donde ofrece detalles sobre un nuevo malware utilizado por el grupo de hackers APT Lazarus, vinculado anteriormente al Gobierno de Corea del Note.
En concreto, el Departamento de Seguridad Nacional (DHS) y el Buró Federal de Investigaciones (FBI), emitieron la alerta conjunta sobre este troyano, que fue detectado cuando se rastreaba la actividad en línea de APT Lazarus, también conocido como Hidden Cobra.
Según las autoridades, el Informe Conjunto de Amenaza de Malware (MAR, por sus siglas en inglés) se emitió con el objetivo de permitir la defensa de las redes informáticas de EE.UU. y evitar que los usuarios y organizaciones se vean expuestas a la actividad maliciosa del gobierno norcoreano. En este sentido, el informe explica:
Este MAR incluye descripciones de malware relacionadas con HIDDEN COBRA, acciones de respuesta y técnicas de mitigación recomendadas. Los usuarios o administradores deben marcar la actividad asociada con el malware e informar la actividad a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) o al Cyber Watch del FBI (CyWatch), y dar a la actividad la máxima prioridad para mejorar la mitigación.
Asimismo, el documento revela un análisis exhaustivo de 9 archivos ejecutables que fueron infectados con el malware, de los cuales 7 son apps proxy que ocultan el tráfico web entre el troyano y sus operadores. Cada una de estas aplicaciones proxy son utilizados por los hackers para crear “falsas sesiones de protocolo de enlace TLS usando certificados SSL públicos válidos, disfrazando conexiones de red con actores maliciosos remotos”.
Además de estas acciones, el malware, llamado HopLight, tiene las siguientes capacidades:
- Lectura, escritura y movimiento de archivos.
- Creación y finalización de procesos.
- Modificación del registro de usuario del sistema.
- Enumeración de las unidades del sistema comprometido.
- Inyección de código en los procesos en ejecución.
- Conexión a host remoto.
- Subir y descargar archivos.
- Creación, inicio y finalización de servicios.
El análisis completo de cada una de las 9 cepas de malware y el informe de las autoridades sobre las acciones de este grupo de hackers está disponible a través del siguiente enlace.