El Departamento de Seguridad Nacional de EE. UU. (DHS, por sus siglas en inglés) y el FBI emitieron otra alerta conjunta sobre una nueva pieza de malware que el prolífico grupo de piratería APT de Corea del Norte, Hidden Cobra, ha estado utilizando activamente en la naturaleza.
Se cree que Hidden Cobra, también conocido como Lazarus Group y Guardians of Peace, está respaldado por el gobierno de Corea del Norte y es conocido por lanzar ataques cibernéticos contra organizaciones de medios, sectores aeroespaciales, financieros y de infraestructura crítica en todo el mundo.
El grupo de piratería era el mismo asociado con la amenaza del ransomware WannaCry de 2017, el ataque de Sony Pictures de 2014 y el ataque de SWIFT Banking en 2016.
Ahora, el DHS y el FBI han descubierto una nueva variante de malware, denominada PEZ ELÉCTRICOque los piratas informáticos de Hidden Cobra han estado utilizando para desviar en secreto el tráfico de los sistemas informáticos comprometidos.
El malware implementa un protocolo personalizado configurado con un servidor/puerto proxy y un nombre de usuario y contraseña de proxy, lo que permite a los piratas eludir la autenticación requerida del sistema comprometido para llegar fuera de la red.
El malware ElectricFish es una utilidad de línea de comandos cuyo objetivo principal es canalizar rápidamente el tráfico entre dos direcciones IP.
El malware permite a los piratas informáticos de Hidden Cobra configurar un servidor/puerto proxy y un nombre de usuario y contraseña de proxy, lo que permite conectarse a un sistema que se encuentra dentro de un servidor proxy, lo que permite a los atacantes eludir la autenticación requerida del sistema infectado.
«Intentará establecer sesiones TCP con la dirección IP de origen y la dirección IP de destino. Si se establece una conexión tanto con la IP de origen como con la de destino, esta utilidad maliciosa implementará un protocolo personalizado, que permitirá que el tráfico sea rápido y eficiente». canalizado entre dos máquinas», se lee en la alerta.
«Si es necesario, el malware puede autenticarse con un proxy para poder llegar a la dirección IP de destino. No se requiere un servidor proxy configurado para esta utilidad».
Una vez que ElectricFish se autentica con el proxy configurado, inmediatamente intenta establecer una sesión con la dirección IP de destino, ubicada fuera de la red de la víctima y la dirección IP de origen. El ataque usaría indicaciones de comando para especificar el origen y el destino del tráfico de tunelización.
Aunque el sitio web de US-CERT no indica si las organizaciones estadounidenses ya han sido infectadas con este nuevo malware, o en caso afirmativo, el informe conjunto de análisis de malware (MAR) dice que la alerta se ha emitido «para permitir la defensa de la red y reducir exposición a la actividad cibernética maliciosa del gobierno de Corea del Norte».
Esta no es la primera vez que el DHS y el FBI emiten una alerta conjunta para advertir a los usuarios y organizaciones sobre el malware Hidden Cobra.
A fines del año pasado, los departamentos estadounidenses advirtieron sobre la Malware FastCash que Hidden Cobra había estado utilizando desde 2016 para comprometer los servidores de aplicaciones de cambio de pago en bancos de África y Asia en un intento de retirar efectivo de los cajeros automáticos de los bancos.
Hace poco menos de un año, el DHS y el FBI también publicaron un aviso alertando a los usuarios de dos programas maliciosos diferentes: un troyano de acceso remoto (RAT) completamente funcional conocido como Juanap y un gusano Server Message Block (SMB) llamado Brambul—Enlazado con Cobra Oculta.
En 2017, el US-CERT también emitió una alerta que detalla el malware Hidden Cobra llamado delta charlie—Una herramienta DDoS que creían que los piratas informáticos de Corea del Norte utilizan para lanzar ataques distribuidos de denegación de servicio contra sus objetivos.