Agencia de Segurança Cibernética e Infraestrutura dos EUA denuncia malware Norte Coreano

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) publicou um Relatório de Análise de Malware (MAR) que inclui detalhes técnicos sobre uma nova cepa de malware, rastreada como BLINDINGCAN, atribuída à Coreia do Norte.

De acordo com especialistas do governo, o malware BLINDINGCAN foi empregado em ataques dirigidos a empresas americanas e estrangeiras que operam nos setores de defesa militar e aeroespacial.

Alguns dos ataques foram atribuídos pelos pesquisadores a campanhas de espionagem cibernética rastreadas como Operação Estrela do Norte e Operação Dream Job .

A cadeia de ataque é semelhante à usada em campanhas anteriores, os atores da ameaça se passam por recrutadores em grandes corporações para estabelecer contato com os funcionários das organizações-alvo. Os invasores usam ofertas de trabalho de entidades proeminentes aeroespaciais e de defesa como isca para enganar as vítimas para que abram documentos Office ou PDF como arma, usados ​​para implantar malware nos computadores da vítima.

De acordo com o alerta da CISA, os atacantes usaram a técnica acima para entregar o trojan de acesso remoto (RAT) BLINDINGCAN (também conhecido como DRATzarus) e acessar o sistema da vítima para fins de reconhecimento.

“O FBI tem grande confiança de que os agentes HIDDEN COBRA estão usando variantes de malware em conjunto com servidores proxy para manter uma presença nas redes das vítimas e para aumentar a exploração da rede. Um grupo de ameaça ligado à Coreia do Norte almejou empreiteiros do governo no início deste ano para reunir inteligência em torno das principais tecnologias militares e de energia ”. lê o relatório MAR do CISA . “Os documentos maliciosos empregados nesta campanha usaram anúncios de empregos de importantes empreiteiros de defesa como iscas e instalaram um implante de coleta de dados no sistema da vítima.”

O BLINDINGCAN RAT implementa as seguintes funções integradas:

• Recupere informações sobre todos os discos instalados, incluindo o tipo de disco e a quantidade de espaço livre no disco
• Obtenha informações sobre a versão do sistema operacional (SO)
• Obtenha informações do processador
• Obtenha o nome do sistema
• Obtenha informações de endereço IP local
• Obtenha o endereço de controle de acesso à mídia (MAC) da vítima.
• Criar, iniciar e encerrar um novo processo e seu thread principal
• Pesquise, leia, escreva, mova e execute arquivos
• Obtenha e modifique os carimbos de data / hora do arquivo ou diretório
• Alterar o diretório atual para um processo ou arquivo
• Exclua malware e artefatos associados ao malware do sistema infectado

O CISA MAR  também indica indicadores de comprometimento (IoCs), regras Yara e outras informações técnicas que podem ser usadas por administradores de sistema para descobrir sistemas comprometidos em suas redes.

Em abril, os Departamentos de Estado dos EUA, o Tesouro e a Segurança Interna e o Federal Bureau of Investigation divulgaram um  comunicado conjunto  que está alertando as organizações em todo o mundo sobre a “significativa ameaça cibernética” representada pelos atores do estado-nação norte-coreano para o mundo instituições bancárias e financeiras.

O comunicado contém recursos abrangentes sobre a
ameaça cibernética da Coréia do Norte, que visa ajudar a comunidade internacional, as indústrias e outros governos a proteger sua infraestrutura de ataques patrocinados pelo estado. O documento também inclui uma lista de ataques recentes atribuídos a hackers patrocinados pelo estado norte-coreano.

O governo dos EUA também está oferecendo uma recompensa monetária de até US $ 5 milhões para quem puder fornecer ‘informações sobre as atividades realizadas por grupos APT vinculados à Coréia do Norte. A oferta também inclui informações sobre campanhas anteriores de hackers.

Fonte: https://securityaffairs.co/wordpress/107339/malware/blindingcan-rat-north-korea.html