HIDDEN COBRA / LAZARUS GROUP / GUARDIANS OF PEACE

Se cree que Hidden Cobra, también conocidos como Lazarus Group y Guardians of Peace, Son Soldados de Guerra Electronica e Inteligencia mandados por el Gobierno de Corea del Norte y es conocido por lanzar ataques contra organizaciones de medios comunicacionales, aeroespaciales, financieras y sectores de infraestructura crítica en todo el mundo.

 

Via: https://www.us-cert.gov EE.UU / y validado por CSIRT https://www.csirt.gob.cl


Este informe se proporciona "tal cual" con fines informativos únicamente. El Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) no ofrece ninguna garantía de ningún tipo con respecto a la información contenida en este documento. El DHS no respalda ningún producto o servicio comercial, mencionado en este boletín o de otra manera. Este documento está marcado como TLP: BLANCO. La divulgación no está limitada. Las fuentes pueden usar TLP: BLANCO cuando la información conlleva un riesgo mínimo o no previsible de uso indebido, de acuerdo con las normas y procedimientos aplicables para divulgación pública. Sujeto a las reglas de copyright estándar, la información de TLP: WHITE se puede distribuir sin restricciones. Para obtener más información sobre el Protocolo de semáforos, visite http://www.us-cert.gov/tlp. Resumen Descripción Este Informe de Análisis de Malware (MAR) es el resultado de esfuerzos analíticos entre el Departamento de Seguridad Nacional (DHS) y la Oficina Federal de Investigaciones (FBI). Al trabajar con los socios del Gobierno de EE. UU., El DHS y el FBI identificaron las variantes de malware de troyanos utilizadas por el gobierno de Corea del Norte. Esta variante de malware ha sido identificada como HOPLIGHT. El gobierno de los EE. UU. Se refiere a la actividad cibernética maliciosa del gobierno de Corea del Norte como HIDDEN COBRA. Para obtener más información sobre la actividad HIDDEN COBRA, visite https://www.us-cert.gov/hiddencobra. DHS y el FBI están distribuyendo este MAR para habilitar la defensa de la red y reducir la exposición a la actividad cibernética maliciosa del gobierno de Corea del Norte. Este MAR incluye descripciones de malware relacionadas con HIDDEN COBRA, acciones de respuesta sugeridas y técnicas de mitigación recomendadas. Los usuarios o administradores deben marcar la actividad asociada con el malware e informar la actividad a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) o al Cyber ​​Watch del FBI (CyWatch), y dar a la actividad la máxima prioridad para mejorar la mitigación. Este informe proporciona un análisis de nueve archivos ejecutables maliciosos. Siete de estos archivos son aplicaciones proxy que enmascaran el tráfico entre el malware y los operadores remotos. Los proxies tienen la capacidad de generar sesiones falsas de reconocimiento de TLS usando certificados SSL públicos válidos, disfrazando conexiones de red con actores maliciosos remotos. Un archivo contiene un certificado SSL público y la carga útil del archivo parece estar codificada con una contraseña o clave. El archivo restante no contiene ninguno de los certificados SSL públicos, pero intenta conexiones salientes y descarta cuatro archivos. Los archivos eliminados contienen principalmente direcciones IP y certificados SSL.


Esta información es distribuida para habilitar la red de defensa nacional y la reducir la exposición a la actividad maliciosa generada por esteMalware.

Este reporte incluye la descripción de Malware relacionados con HIDDEN COBRA, sugerencias para acciones de respuestas y recomendaciones de técnicas de mitigación.

 

La US-CERT a lanzado un comunicado técnico generado entre la DHS(Departamento de Seguridad Nacional) de los Estados Unidos y el FBI, por dos malwares descubiertos hace poco que están vinculados al grupo NorCoreano Hidden Cobra.

Se cree que Hidden Cobra, también conocidos como Lazarus Group y Guardians of Peace, está respaldado por el gobierno de Corea del Norte y es conocido por lanzar ataques contra organizaciones de medios comunicacionales, aeroespaciales, financieras y sectores de infraestructura crítica en todo el mundo.

El grupo esta vinculado directamente a la creación del Malware WannaCry, la cual dejo fuera a miles de instituciones en todo el mundo, también está vinculado al hackeo de Sony Pictures el 2014 y a los ataques a la red bancaria SWIFT el 2016.

El Departamento de Seguridad Nacional en conjunto con el FBI, descubrieron 2 piezas de código que han estado utilizando desde el año 2009 para realizar los ataques a instituciones mencionadas anteriormente.

Los dos malwares que están utilizando son, un RAT conocido como Joanap y un SMB llamado Brambul.

Joanap


Según la alerta de US-CERT,  Joanap es un malware de dos etapas que establece comunicaciones entre pares y administra redes de bots diseñadas para permitir operaciones maliciosas.

El malware generalmente infecta un sistema con un archivo entregado por otro malware, que los usuarios descargan sin saberlo cuando visitan sitios web comprometidos por los actores de Hidden Cobra, o cuando abren archivos adjuntos de correo electrónico maliciosos.

El malware recibe comandos desde un centro de control, administrado por Hidden Cobra, donde se le da la capacidad al malware de robar datos, correr otros malwares, inicializar proxy y otras acciones en sistemas operativos Windows. Otras funcionalidades del de Joanap es la administración de archivos, administración de procesos, creación y eliminación de directorios, administración de botnet y administración del nodo.

Dentro del análisis del Gobierno de los Estados Unidos, se detecto la presencia del malware en mas de 17 países incluyendo Argentina, Brasil, China, España, Colombia, Suecia, India, e Irán 


Brambul 


Es un gusano que intenta autenticación por fuerza bruta como WannaCry, y se aprovecha del protocolo SMB para poder generar la infección generalizada.

El gusano se establece como servicio DLL dentro de Windows, y cuando realiza la infección lo hace a través de una aplicación portable.

"Cuando es ejecutado, el malware intenta establecer contacto con el sistema de la victima a través de su dirección IP en la misma red local"

"Si es exitosa la conexión, el malware intentara ganar acceso no autorizado al equipo mediante SMB (Puerto 139 y 445). Este lanza un ataque de fuerza bruta mediante una lista de password. Además, el malware genera direcciones IP aleatorias para futuros ataques.

Despues de ganar acceso no autorizado al equipo de la victima, el malware comunica la información de la victima los sistemas de Hidden Cobra usando un correo electrónico. La información incluye la dirección IP, Hostname, Usuario y password, de cada sistema vulnerado.

Los hackers pueden usar esta información robada para acceder remotamente al sistema comprometido a través del protocolo SMB. Los actores incluso pueden generar y ejecutar lo que los analistas llaman un "Script suicida".

 

 

 

Como Operan los Ataques por los Hackers Norcoreanos , Hackers que yo considero que son Soldados de Guerra Electronica Ciber Soldados aca dejare segun la fuente

North Korean Trojan: HOPLIGHT

atacan con estos archivos:

05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461 (23E27E5482E3F55BF828DAB8855690...)

12480585e08855109c5972e85d99cda7701fe992bc1754f1a0736f1eebcb004d (868036E102DF4CE414B0E6700825B3...)

2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525 (5C3898AC7670DA30CF0B22075F3E8E...)

4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761 (42682D4A78FE5C2EDA988185A34463...)

4c372df691fc699552f81c3d3937729f1dde2a2393f36c92ccc2bd2a033a0818 (C5DC53A540ABE95E02008A04A0D56D...)

70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3 (61E3571B8D9B2E9CCFADC3DDE10FB6...)

83228075a604e955d59edc760e4c4ed16eedabfc8f6ac291cf21b4fcbcd1f70a (3021B9EF74c&BDDF59656A035F94FD...)

d77fdabe17cdba62a8e728cbe6c740e2c2e541072501f77988674e07a05dfb39 (F8D26F2B8DD2AC4889597E1F2FD1F2...)

ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d (BE588CD29B9DC6F8CFC4D0AA5E5C79...)05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461 (23E27E5482E3F55BF828DAB8855690...)

12480585e08855109c5972e85d99cda7701fe992bc1754f1a0736f1eebcb004d (868036E102DF4CE414B0E6700825B3...)

2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525 (5C3898AC7670DA30CF0B22075F3E8E...)

4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761 (42682D4A78FE5C2EDA988185A34463...)

4c372df691fc699552f81c3d3937729f1dde2a2393f36c92ccc2bd2a033a0818 (C5DC53A540ABE95E02008A04A0D56D...)

70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3 (61E3571B8D9B2E9CCFADC3DDE10FB6...)

83228075a604e955d59edc760e4c4ed16eedabfc8f6ac291cf21b4fcbcd1f70a (3021B9EF74c&BDDF59656A035F94FD...)

d77fdabe17cdba62a8e728cbe6c740e2c2e541072501f77988674e07a05dfb39 (F8D26F2B8DD2AC4889597E1F2FD1F2...)

ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d (BE588CD29B9DC6F8CFC4D0AA5E5C79...)

 

Ojo con estos Analizar estos Archivos Extras:

 

49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359 (rdpproto.dll)

70902623c9cd0cccc8513850072b70732d02c266c7b7e96d2d5b2ed4f5edc289 (udbcgiut.dat)

96a296d224f285c67bee93c30f8a309157f0daa35dc5b87e410b78630a09cfc7 (MSDFMAPI.INI)

cd5ff67ff773cc60c98c35f9e9d514b597cbd148789547ba152ba67bfc0fec8f (UDPTrcSvc.dll)

 

ESTOS SON 15 IPs de Ataques de Ataques Norcoreanos

IPs (15)

112.175.92.57

113.114.117.122

128.200.115.228

137.139.135.151

181.39.135.126

186.169.2.237

197.211.212.59

21.252.107.198

26.165.218.44

47.206.4.145

70.224.36.194

81.94.192.10

81.94.192.147

84.49.242.125

97.90.44.200

 

Tipos de Ataque:

trojano

Detalles:
El malware es capaz de abrir y enlazar a un socket. El malware utiliza un certificado SSL público para la comunicación segura. 
Este certificado es de www.naver.com. Naver.com es el motor de búsqueda más grande en Corea y proporciona una variedad de 
servicios web a clientes de todo el mundo.


Resumen de relaciones para los entendidos en la materia:

2151c1977b... Connected_To 81.94.192.147
2151c1977b... Connected_To 112.175.92.57
2151c1977b... Related_To 181.39.135.126
2151c1977b... Related_To 197.211.212.59
2151c1977b... Related_To 70902623c9cd0cccc8513850072b70732d02c266c7b7e96d2d5b2ed4f5edc289
2151c1977b... Dropped 96a296d224f285c67bee93c30f8a309157f0daa35dc5b87e410b78630a09cfc7
197.211.212.59 Related_To 2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525
197.211.212.59 Connected_From ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d
197.211.212.59 Connected_From 70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3
181.39.135.126 Related_To 2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525
181.39.135.126 Connected_From ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d
181.39.135.126 Connected_From 70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3
112.175.92.57 Connected_From 2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525
112.175.92.57 Connected_From ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d
112.175.92.57 Connected_From 70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3
112.175.92.57 Connected_From 83228075a604e955d59edc760e4c4ed16eedabfc8f6ac291cf21b4fcbcd1f70a
81.94.192.147 Connected_From 2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525
81.94.192.147 Connected_From ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d
81.94.192.147 Connected_From 70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3
70902623c9... Dropped_By 70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3
70902623c9... Related_To ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d
70902623c9... Related_To 2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525
70902623c9... Related_To 70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3
70902623c9... Related_To 12480585e08855109c5972e85d99cda7701fe992bc1754f1a0736f1eebcb004d
ddea408e17... Connected_To 81.94.192.147
ddea408e17... Connected_To 112.175.92.57
ddea408e17... Connected_To 181.39.135.126
ddea408e17... Connected_To 197.211.212.59
ddea408e17... Related_To 70902623c9cd0cccc8513850072b70732d02c266c7b7e96d2d5b2ed4f5edc289
ddea408e17... Connected_To 81.94.192.10
81.94.192.10 Connected_From ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d
12480585e0... Related_To 70902623c9cd0cccc8513850072b70732d02c266c7b7e96d2d5b2ed4f5edc289
12480585e0... Dropped 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
49757cf856... Dropped_By 12480585e08855109c5972e85d99cda7701fe992bc1754f1a0736f1eebcb004d
49757cf856... Connected_To 21.252.107.198
49757cf856... Connected_To 70.224.36.194
49757cf856... Connected_To 113.114.117.122
49757cf856... Connected_To 47.206.4.145
49757cf856... Connected_To 84.49.242.125
49757cf856... Connected_To 26.165.218.44
49757cf856... Connected_To 137.139.135.151
49757cf856... Connected_To 97.90.44.200
49757cf856... Connected_To 128.200.115.228
49757cf856... Connected_To 186.169.2.237
21.252.107.198 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
21.252.107.198 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
70.224.36.194 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
70.224.36.194 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
113.114.117.122 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
113.114.117.122 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
47.206.4.145 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
47.206.4.145 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
84.49.242.125 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
84.49.242.125 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
26.165.218.44 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
26.165.218.44 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
137.139.135.151 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
137.139.135.151 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
97.90.44.200 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
97.90.44.200 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
128.200.115.228 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
128.200.115.228 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
186.169.2.237 Connected_From 4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761
186.169.2.237 Connected_From 49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359
4a74a9fd40... Connected_To 21.252.107.198
4a74a9fd40... Connected_To 70.224.36.194
4a74a9fd40... Connected_To 113.114.117.122
4a74a9fd40... Connected_To 47.206.4.145
4a74a9fd40... Connected_To 84.49.242.125
4a74a9fd40... Connected_To 26.165.218.44
4a74a9fd40... Connected_To 137.139.135.151
4a74a9fd40... Connected_To 97.90.44.200
4a74a9fd40... Connected_To 128.200.115.228
4a74a9fd40... Connected_To 186.169.2.237
83228075a6... Connected_To 112.175.92.57
70034b33f5... Dropped cd5ff67ff773cc60c98c35f9e9d514b597cbd148789547ba152ba67bfc0fec8f
70034b33f5... Dropped 70902623c9cd0cccc8513850072b70732d02c266c7b7e96d2d5b2ed4f5edc289
70034b33f5... Dropped 96a296d224f285c67bee93c30f8a309157f0daa35dc5b87e410b78630a09cfc7
70034b33f5... Connected_To 81.94.192.147
70034b33f5... Connected_To 112.175.92.57
70034b33f5... Connected_To 181.39.135.126
70034b33f5... Connected_To 197.211.212.59
70034b33f5... Related_To 70902623c9cd0cccc8513850072b70732d02c266c7b7e96d2d5b2ed4f5edc289
cd5ff67ff7... Dropped_By 70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3
96a296d224... Dropped_By 70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3
96a296d224... Dropped_By 2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525

 

RECOMENDACIONES A SEGUIR:

Mantener las firmas y motores antivirus actualizados.  Mantener actualizados los parches del sistema operativo. 
 Desactivar los servicios de compartir archivos e impresoras. Si se requieren estos servicios, use contraseñas seguras o 
autenticación de Active Directory.  Restrinja la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones 
de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.  Hacer cumplir
 una política de contraseñas seguras e implementar cambios regulares de contraseñas.  Tenga cuidado al abrir archivos adjuntos
 de correo electrónico, incluso si se espera que el archivo adjunto y el remitente parezca conocido.  Habilite un firewall personal
 en las estaciones de trabajo de la agencia, configurado para rechazar solicitudes de conexión no solicitadas.  Deshabilite 
los servicios innecesarios en las estaciones de trabajo y servidores de la agencia.  Buscar y eliminar archivos adjuntos sospechosos
 de correo electrónico; asegúrese de que el archivo adjunto escaneado sea su "tipo de archivo verdadero" (es decir,
 la extensión coincide con el encabezado del archivo).  Monitorear los hábitos de navegación web de los usuarios; restringir 
el acceso a sitios con contenido desfavorable.  Tenga cuidado al usar medios extraíbles (por ejemplo, unidades de memoria USB, 
unidades externas, CD, etc.).  Escanee todo el software descargado de Internet antes de ejecutar.  Mantenga el conocimiento de la
 situación de las amenazas más recientes e implemente las ACL apropiadas.  Puede encontrar información adicional sobre la prevención
 y el manejo de incidentes de malware.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------

Bernardo Avilés Lazcano de la Black Server Chile https://www.blackserver.cl / FUENTES VIA:

https://www.us-cert.gov/ncas/analysis-reports/AR19-100A

https://www.csirt.gob.cl/reportes/analisis-de-reporte-de-malware-ar19-100a-troyano-hoplight-de-corea-del-norte/

 

 

 

 

 

 

 

 

 


  • " El Avance Tecnologíco esta Constantemente Evolucionando Cada vez mas." La Tecnologia es el Futuro
  • "Black Server Chile ofrece Servicios de Almacenamiento , Desarrollo de Software , Ciberseguridad , Certificación Comodo Rsa , Certificación Cpanel Inc"
Color :
Layout : Pattern