El US-CERT, junto con el DHS, FBI y DoD, han lanzado una alerta advirtiendo de nuevos malwares utilizados por el grupo de ciberdelincuentes ‘Hidden Cobra’.
Este grupo, a menudo conocido como ‘Lazarus Group’ o ‘Guardians of Peace’, está respaldado por el gobierno de Corea del Norte y es conocido por lanzar ataques contra organizaciones de medios de comunicación, aeroespaciales, de sectores financieros y a infraestructuras críticas en todo el mundo.
Reporte de Análisis de Malware MAR (AR19-252B)
Este Informe de Análisis de Malware (MAR) es el resultado de esfuerzos analíticos entre el Departamento de Seguridad Nacional (DHS), la Oficina Federal de Investigación (FBI) y el Departamento de Defensa (DoD). Trabajando con socios del gobierno de los EE. UU., El DHS, el FBI y el DoD identificaron variantes de malware proxy utilizadas por el gobierno de Corea del Norte, a las que el gobierno de los EE. UU. Se refiere como ELECTRICFISH. El gobierno de los Estados Unidos se refiere a la actividad cibernética maliciosa del gobierno de Corea del Norte como HIDDEN COBRA. Para obtener más información sobre la actividad COBRA OCULTA, visite https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity.
DHS, FBI y DoD están distribuyendo este MAR para permitir la defensa de la red y reducir la exposición a la actividad cibernética maliciosa del gobierno de Corea del Norte.
Amenaza
Este MAR incluye descripciones de malware relacionadas con HIDDEN COBRA, acciones de respuesta sugeridas y técnicas de mitigación recomendadas. Los usuarios o administradores deben marcar la actividad asociada con el malware, informar la actividad al Centro Nacional de Integración de Seguridad Cibernética y Comunicaciones (NCCIC) del DHS o al FBI Cyber Watch (CyWatch), y dar a la actividad la máxima prioridad para una mitigación mejorada.
Este informe proporciona análisis de dos archivos maliciosos ejecutables de Windows de 32 bits. El malware implementa un protocolo personalizado que permite que el tráfico se canalice entre una dirección de Protocolo de Internet (IP) de origen y de destino. El malware intenta continuamente llegar a la fuente y al sistema de designación, lo que permite a ambos lados iniciar una sesión de tunelización. El malware se puede configurar con un servidor / puerto proxy y un nombre de usuario y contraseña proxy. Esta característica permite la conectividad a un sistema que se encuentra dentro de un servidor proxy, lo que permite al actor omitir la autenticación requerida del sistema comprometido para llegar fuera de la red.
Recomendaciones
CISA recomienda que los usuarios y administradores consideren usar las siguientes mejores prácticas para fortalecer la postura de seguridad de los sistemas de su organización. Cualquier cambio de configuración debe ser revisado por los propietarios y administradores del sistema antes de la implementación para evitar impactos no deseados.
Mantener firmas y motores antivirus actualizados.
Mantenga los parches del sistema operativo actualizados.
Deshabilite los servicios para compartir archivos e impresoras. Si se requieren estos servicios, use contraseñas seguras o autenticación de Active Directory.
Restrinja la capacidad de los usuarios (permisos) para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.
Haga cumplir una política de contraseña segura e implemente cambios regulares de contraseña.
Tenga cuidado al abrir archivos adjuntos de correo electrónico, incluso si se espera el archivo adjunto y el remitente parece ser conocido.
Habilite un firewall personal en las estaciones de trabajo de la agencia, configurado para denegar solicitudes de conexión no solicitadas.
Deshabilite servicios innecesarios en estaciones de trabajo y servidores de agencias.
Buscar y eliminar archivos adjuntos sospechosos de correo electrónico; asegúrese de que el archivo adjunto escaneado sea su "tipo de archivo verdadero" (es decir, la extensión coincide con el encabezado del archivo).
Monitorear los hábitos de navegación web de los usuarios; restringir el acceso a sitios con contenido desfavorable.
Tenga cuidado al usar medios extraíbles (por ejemplo, unidades de memoria USB, unidades externas, CD, etc.).
Escanee todo el software descargado de Internet antes de ejecutarlo.
Mantener una conciencia situacional de las últimas amenazas e implementar listas de control de acceso (ACL) apropiadas.
Se puede encontrar información adicional sobre prevención y manejo de incidentes de malware en la publicación especial 800-83 del Instituto Nacional de Estándares y Tecnología (NIST), "Guía para la prevención y manejo de incidentes de malware para computadoras de escritorio y portátiles".
Lea el reporte completo en el siguiente link: https://www.us-cert.gov/ncas/analysis-reports/ar19-252b.
Fuente: US-CERT
Commentaires