La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha publicado hoy una alerta de seguridad que contiene detalles sobre una nueva cepa de malware que fue visto este año desplegado por piratas informáticos del gobierno de Corea del Norte.
AntilavadoDeDinero / AntiCorruptionDigest
Este nuevo malware se detectó en ataques dirigidos a empresas estadounidenses y extranjeras activas en los sectores aeroespacial y de defensa militar , según dijeron a ZDNet fuentes de la comunidad de seguridad de información , y los ataques se documentaron en informes de McAfee ( Operación North Star ) y ClearSky ( Operación DreamJob ).
Los ataques siguieron el mismo patrón, con hackers norcoreanos haciéndose pasar por reclutadores de grandes corporaciones para acercarse a los empleados de las empresas deseadas.
Se pidió a los empleados seleccionados que pasaran por un proceso de entrevista, durante el cual generalmente recibían documentos maliciosos de Office o PDF que los piratas informáticos norcoreanos usarían para implementar malware en las computadoras de la víctima.
La carga útil final en estos ataques es el punto focal de alerta CISA de hoy, un troyano de acceso remoto (RAT) que CISA llama BLINDINGCAN (llamado DRATzarus en el informe ClearSky).
Los expertos de CISA dicen que los piratas informáticos norcoreanos utilizaron el malware para obtener acceso a los sistemas de las víctimas, realizar reconocimientos y luego “recopilar información sobre tecnologías militares y energéticas clave”.
Esto fue posible gracias al amplio conjunto de capacidades técnicas de BLINDINGCAN, que permitieron a la RAT:
- Recupere información sobre todos los discos instalados, incluido el tipo de disco y la cantidad de espacio libre en el disco
- Obtener información sobre la versión del sistema operativo (SO)
- Obtener información del procesador
- Obtener el nombre del sistema
- Obtener información de la dirección IP local
- Obtenga la dirección de control de acceso a medios (MAC) de la víctima.
- Crear, iniciar y finalizar un nuevo proceso y su hilo principal
- Buscar, leer, escribir, mover y ejecutar archivos
- Obtener y modificar marcas de tiempo de archivos o directorios
- Cambiar el directorio actual de un proceso o archivo
- Elimina el malware y los artefactos asociados con el malware del sistema infectado.
La alerta CISA incluye indicadores de compromiso y otros detalles técnicos que pueden ayudar a los administradores del sistema y a los profesionales de seguridad a establecer reglas para escanear sus redes en busca de signos de compromiso.
Le puede interesar: Cuatro hermanos arrestados por fraude contra Amazon en Nueva York
Esta es la trigésima quinta vez que el gobierno de los Estados Unidos emite una alerta de seguridad sobre la actividad maliciosa de Corea del Norte. Desde el 12 de mayo de 2017, CISA ha publicado informes sobre 31 familias de malware norcoreanas en su sitio web .
