O Departamento de Segurança Interna dos EUA (DHS) e o FBI emitiram outro alerta conjunto sobre um novo malware que o prolífico grupo hacker norte-coreano APT, Hidden Cobra.
Acredita-se que o Cobra Oculto, também conhecido como Lazarus Group e Guardians of Peace, seja apoiado pelo governo norte-coreano e conhecido por lançar ataques cibernéticos contra organizações de mídia, setores aeroespaciais, financeiros e de infraestrutura crítica em todo o mundo.
O grupo de hackers foi o mesmo associado à ameaça WannaCry de ransomware de 2017 , ao hack de 2014 da Sony Pictures e ao ataque SWIFT Banking em 2016. Agora, o DHS e o FBI descobriram uma nova variante de malware, chamada ELECTRICFISH.
, que os hackers da Cobra Oculta têm usado para encapsular secretamente o tráfego de sistemas de computadores comprometidos.
O malware implementa um protocolo personalizado configurado com um nome de usuário e senha de servidor / porta proxy e proxy, permitindo que os hackers ignorem a autenticação exigida do sistema comprometido para alcançar fora da rede.
O malware ElectricFish é um utilitário de linha de comando cuja finalidade principal é rapidamente canalizar o tráfego entre dois endereços IP.
O malware permite que os hackers do Hidden Cobra se configurem com um nome de usuário e senha do servidor proxy / porta e proxy, possibilitando a conexão a um sistema dentro de um servidor proxy, o que permite que os invasores ignorem a autenticação necessária do sistema infectado.
Uma vez que o ElectricFish autentique com o proxy configurado, ele imediatamente tenta estabelecer uma sessão com o endereço IP de destino, localizado fora da rede da vítima e o endereço IP de origem. O ataque usaria prompts de comando para especificar a origem e o destino do tráfego de encapsulamento.
Embora o site da US-CERT não indique se, ou se sim, quais organizações dos EUA já foram infectadas com este novo malware, o relatório de análise conjunta de malware (MAR) diz que o alerta foi emitido "para permitir a defesa da rede e reduzir exposição à atividade maliciosa do governo norte-coreano. "
Esta não é a primeira vez que o DHS e o FBI emitiram um alerta conjunto para alertar usuários e organizações sobre o malware Hidden Cobra.
No ano passado, os departamentos dos EUA alertaram sobre o malware FastCash que o Cobra Oculto vinha usando desde 2016 para comprometer servidores de aplicativos de troca de pagamento em bancos na África e na Ásia, numa tentativa de sacar caixas eletrônicos bancários.
Pouco menos de um ano atrás, o DHS e o FBI também publicaram um alerta alertando os usuários dedois malwares diferentes - um RAT (Remote Access Trojan) totalmente funcional conhecido como Joanap e um worm SMB (Server Message Block) chamado Brambul - vinculado ao Hidden Cobra.
Em 2017, o US-CERT também divulgou um alerta detalhando o malware Cobra Escondida chamado Delta Charlie - uma ferramenta de DDoS que eles acreditavam que os hackers norte-coreanos usavam para lançar ataques distribuídos de negação de serviço contra seus alvos.
Acredita-se que o Cobra Oculto, também conhecido como Lazarus Group e Guardians of Peace, seja apoiado pelo governo norte-coreano e conhecido por lançar ataques cibernéticos contra organizações de mídia, setores aeroespaciais, financeiros e de infraestrutura crítica em todo o mundo.
O grupo de hackers foi o mesmo associado à ameaça WannaCry de ransomware de 2017 , ao hack de 2014 da Sony Pictures e ao ataque SWIFT Banking em 2016. Agora, o DHS e o FBI descobriram uma nova variante de malware, chamada ELECTRICFISH.
, que os hackers da Cobra Oculta têm usado para encapsular secretamente o tráfego de sistemas de computadores comprometidos.
O malware implementa um protocolo personalizado configurado com um nome de usuário e senha de servidor / porta proxy e proxy, permitindo que os hackers ignorem a autenticação exigida do sistema comprometido para alcançar fora da rede.
O malware ElectricFish é um utilitário de linha de comando cuja finalidade principal é rapidamente canalizar o tráfego entre dois endereços IP.
O malware permite que os hackers do Hidden Cobra se configurem com um nome de usuário e senha do servidor proxy / porta e proxy, possibilitando a conexão a um sistema dentro de um servidor proxy, o que permite que os invasores ignorem a autenticação necessária do sistema infectado.
"Ele tentará estabelecer sessões TCP com o endereço IP de origem e o endereço IP de destino. Se uma conexão for feita para os IPs de origem e destino, esse utilitário malicioso implementará um protocolo personalizado, que permitirá que o tráfego seja rápido e eficiente. afunilado entre duas máquinas ", diz o alerta .
"Se necessário, o malware pode autenticar com um proxy para poder alcançar o endereço IP de destino. Um servidor proxy configurado não é necessário para este utilitário."
Uma vez que o ElectricFish autentique com o proxy configurado, ele imediatamente tenta estabelecer uma sessão com o endereço IP de destino, localizado fora da rede da vítima e o endereço IP de origem. O ataque usaria prompts de comando para especificar a origem e o destino do tráfego de encapsulamento.
Embora o site da US-CERT não indique se, ou se sim, quais organizações dos EUA já foram infectadas com este novo malware, o relatório de análise conjunta de malware (MAR) diz que o alerta foi emitido "para permitir a defesa da rede e reduzir exposição à atividade maliciosa do governo norte-coreano. "
Esta não é a primeira vez que o DHS e o FBI emitiram um alerta conjunto para alertar usuários e organizações sobre o malware Hidden Cobra.
No ano passado, os departamentos dos EUA alertaram sobre o malware FastCash que o Cobra Oculto vinha usando desde 2016 para comprometer servidores de aplicativos de troca de pagamento em bancos na África e na Ásia, numa tentativa de sacar caixas eletrônicos bancários.
Pouco menos de um ano atrás, o DHS e o FBI também publicaram um alerta alertando os usuários dedois malwares diferentes - um RAT (Remote Access Trojan) totalmente funcional conhecido como Joanap e um worm SMB (Server Message Block) chamado Brambul - vinculado ao Hidden Cobra.
Em 2017, o US-CERT também divulgou um alerta detalhando o malware Cobra Escondida chamado Delta Charlie - uma ferramenta de DDoS que eles acreditavam que os hackers norte-coreanos usavam para lançar ataques distribuídos de negação de serviço contra seus alvos.
