FBI alerta sobre otros dos malwares vinculados al Grupo "Hidden Cobra"



La US-CERT a lanzado un comunicado técnico generado entre la DHS(Departamento de Seguridad Nacional) de los Estados Unidos y el FBI, por dos malwares descubiertos hace poco que están vinculados al grupo NorCoreano Hidden Cobra.

Se cree que Hidden Cobra, también conocidos como Lazarus Group y Guardians of Peace, está respaldado por el gobierno de Corea del Norte y es conocido por lanzar ataques contra organizaciones de medios comunicacionales, aeroespaciales, financieras y sectores de infraestructura crítica en todo el mundo.

El grupo esta vinculado directamente a la creación del Malware WannaCry, la cual dejo fuera a miles de instituciones en todo el mundo, también está vinculado al hackeo de Sony Pictures el 2014 y a los ataques a la red bancaria SWIFT el 2016.

El Departamento de Seguridad Nacional en conjunto con el FBI, descubrieron 2 piezas de código que han estado utilizando desde el año 2009 para realizar los ataques a instituciones mencionadas anteriormente.

Los dos malwares que están utilizando son, un RAT conocido como Joanap y un SMB llamado Brambul.

Joanap


Según la alerta de US-CERT,  Joanap es un malware de dos etapas que establece comunicaciones entre pares y administra redes de bots diseñadas para permitir operaciones maliciosas.

El malware generalmente infecta un sistema con un archivo entregado por otro malware, que los usuarios descargan sin saberlo cuando visitan sitios web comprometidos por los actores de Hidden Cobra, o cuando abren archivos adjuntos de correo electrónico maliciosos.

El malware recibe comandos desde un centro de control, administrado por Hidden Cobra, donde se le da la capacidad al malware de robar datos, correr otros malwares, inicializar proxy y otras acciones en sistemas operativos Windows. Otras funcionalidades del de Joanap es la administración de archivos, administración de procesos, creación y eliminación de directorios, administración de botnet y administración del nodo.

Dentro del análisis del Gobierno de los Estados Unidos, se detecto la presencia del malware en mas de 17 países incluyendo Argentina, Brasil, China, España, Colombia, Suecia, India, e Irán

Brambul 


Es un gusano que intenta autenticación por fuerza bruta como WannaCry, y se aprovecha del protocolo SMB para poder generar la infección generalizada.

El gusano se establece como servicio DLL dentro de Windows, y cuando realiza la infección lo hace a través de una aplicación portable.

"Cuando es ejecutado, el malware intenta establecer contacto con el sistema de la victima a través de su dirección IP en la misma red local"

"Si es exitosa la conexión, el malware intentara ganar acceso no autorizado al equipo mediante SMB (Puerto 139 y 445). Este lanza un ataque de fuerza bruta mediante una lista de password. Además, el malware genera direcciones IP aleatorias para futuros ataques.

Despues de ganar acceso no autorizado al equipo de la victima, el malware comunica la información de la victima los sistemas de Hidden Cobra usando un correo electrónico. La información incluye la dirección IP, Hostname, Usuario y password, de cada sistema vulnerado.

Los hackers pueden usar esta información robada para acceder remotamente al sistema comprometido a través del protocolo SMB. Los actores incluso pueden generar y ejecutar lo que los analistas llaman un "Script suicida".


IoC, un listado mas completo lo puedes encontrar en : https://www.us-cert.gov/sites/default/files/publications/TA18-149A.CSV


MD5: 4613f51087f01715bf9132c704aea2c2
MD5: e86c2f4fc88918246bf697b6a404c3ea
MD5 4731CBAEE7ACA37B596E38690160A749
MD5: 298775B04A166FF4B8FBD3609E716945