El Departamento de Seguridad Nacional y el FBI de Estados Unidos han emitido una alerta de que los hackers se han dirigido a la industria aeroespacial, los servicios financieros y la infraestructura crítica con un troyano de acceso remoto RAT para explotar aún más las redes vulnerables.
En una alerta US-CERT los ataques se atribuyen a un grupo de piratas informáticos conocidos como “Hidden Cobra” que trabaja para el gobierno de Corea del Norte. Hidden Cobra, también conocido como el Grupo de Lázaro o Guardianes de la Paz, ha estado activo desde al menos el 2009, y se han hecho un nombre por sí mismos a través de su uso de las ratas, los ataques de botnets DDoS, software espía keylogging, y los datos de borrado de software malicioso contra el extranjero compañías.El Gobierno de Estados Unidos incluso ha señalado con el dedo de la culpa en Hidden Cobra para el ataque ransomware WannaCry, una afirmación que Corea del Norte posteriormente (y como era de esperar) negó.
De acuerdo con US-CERT, el grupo oculto Cobra ha estado utilizando el FallChill RAT desde 2016 en una campaña dirigida a los sectores aeroespacial, de telecomunicaciones, y las industrias de finanzas - entregando el ataque, ya sea como un archivo soltado por otro malware, o por medio de archivos sin querer descargados desde comprometida sitios web.
Una vez en su lugar, el programa malicioso permite a los piratas informáticos remotos enviar comandos desde un servidor de comando y control de PCs infectados con el fin de acceder a los archivos, planta malware adicional y eliminar las pruebas digitales que estaban siempre presentes.
Segun el US-CERT estas son las capacidades incorporadas de FallChill para operaciones remotas:
- Recuperar información acerca de todos los discos instalados, incluyendo el tipo de disco y la cantidad de espacio libre en el disco
- Crear, iniciar y terminar un nuevo proceso y su rosca primaria
- Búsqueda, leer, escribir, mover y ejecutar archivos
- Obtener y modificar de archivo o directorio marcas de tiempo
- Cambiar el directorio actual para un proceso o archivo
- Eliminar el malware y artefactos asociados con el malware desde el sistema infectado.
Para la mejor defensa contra los ataques de Corea del Norte, las organizaciones son aconsejados por US-CERT para buscar indicios de compromiso, detallados en la alerta, mediante la revisión de registros de red para las direcciones IP, y el uso de una variedad de firmas de red y reglas basadas en host.
Además, el Gobierno de Estados Unidos ha advertido que el grupo oculto Hidden Cobra ha estado usando un caballo de Troya llamado Volgmer en los intentos de comprometer en secreto en los sistemas de gobierno, industrias financiera, automotriz, y los medios de comunicación. Volgmer, US-CERT informa, es sospechoso de ser entregados principalmente a través de ataques de correo electrónico spearphishing.
Fecha actualización el 2021-11-15. Fecha publicación el 2017-11-15. Categoría: Windows. Autor: Oscar olg Mapa del sitio Fuente: bitdefender