Inicio / Actualidad / Hackers de Corea del Norte utilizan el malware ELECTRICFISH para robar datos

Hackers de Corea del Norte utilizan el malware ELECTRICFISH para robar datos

La Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional de EE. UU. (DHS) emitieron un informe conjunto de análisis de malware (MAR) sobre una cepa de malware denominada ELECTRICFISH y utilizada por el grupo de hackers norcoreanos APT Lazarus para eliminar datos de las víctimas.

De acuerdo con el aviso MAR AR19-129A publicado en el sitio web de US-CERT, el malware se detectó al rastrear las actividades maliciosas del grupo de piratería HIDDEN COBRA respaldado por Corea del Norte   (también conocido por expertos en seguridad como Lazarus, Guardians of Peace, ZINC, y Academia de níquel).

El informe de análisis de malware MAR-10135536-21 se emitió “para permitir la defensa de la red y reducir la exposición a la actividad cibernética maliciosa del gobierno de Corea del Norte”.

Como se detalla en el aviso de ELECTRICFISH:

Este MAR incluye descripciones de malware relacionadas con HIDDEN COBRA, acciones de respuesta sugeridas y técnicas de mitigación recomendadas. Los usuarios o administradores deben marcar la actividad asociada con el malware e informar la actividad a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) o al Cyber ​​Watch del FBI (CyWatch), y dar a la actividad la máxima prioridad para mejorar la mitigación.

El informe publicado en el sitio web de US-CERT incluye un análisis detallado de un archivo ejecutable malicioso de 32 bits infectado con el malware ELECTRICFISH de Lazarus.

El “malware” implementa un protocolo personalizado que permite que el tráfico se canalice entre una dirección de Protocolo de Internet (IP) de origen y una de destino. El malware intenta continuamente llegar a la fuente y al sistema de designación, lo que permite que cualquiera de los dos lados inicie una sesión de canalización. . ”

Debido a que los atacantes del grupo Lazarus pueden configurar el malware “con un servidor / puerto proxy y un nombre de usuario y contraseña de proxy,” hace posible conectarse “a un sistema que se encuentra dentro de un servidor proxy” y, por lo tanto, elude la autenticación del sistema infectado.

Después de omitir las medidas de autenticación configuradas en la máquina comprometida, ELECTRICFISH “establecerá una sesión con la dirección IP de destino, ubicada fuera de la red de destino y la dirección IP de origen”.

Una vez que se establece una conexión entre una dirección IP de origen y una dirección IP de destino, el malware ELECTRICFISH puede canalizar el tráfico de Internet entre las dos máquinas, lo que permite a los actores maliciosos canalizar la información recopilada de las computadoras comprometidas a los servidores que controlan.

Los informes de análisis de malware son emitidos por el DHS a través de US-CERT para “proporcionar a las organizaciones un análisis de malware más detallado adquirido a través de ingeniería inversa manual”.

El análisis completo para la muestra de ELECTRICFISH, así como una lista completa de IOC, están disponibles en el  aviso AR19-100A . Los IOC también se pueden descargar como un documento XML desde  AQUÍ .


Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente:bleepingcomputer

Vea También

Los nuevos archivos médicos de imagen DICOM maliciosos causan dolor de cabeza en la HIPAA

Los archivos DICOM malintencionados pueden crearse para contener datos de imágenes de escaneo CT y …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.