Governo dos EUA detalha malwares do grupo HIDDEN COBRA vinculado à Coreia do Norte

Nova lei norte-americana exigiria que fabricantes deixassem uma backdoor — Imagem: Wikimedia.

O FBI, o Comando Cibernético dos EUA e o Departamento de Segurança Interna publicaram detalhes técnicos de uma nova operação envolvendo malwares dos hackers HIDDEN COBRA, que são vinculados à Coreia do Norte.

Assim, os especialistas do governo divulgaram novos e atualizados Relatórios de Análise de Malware (MARs) relacionados a novas famílias de malware envolvidas em novos ataques realizados pelo HIDDEN COBRA.

Governo dos EUA detalha malwares do grupo HIDDEN COBRA vinculado à Coreia do Norte — O grupo HIDDEN COBRA é vinculado à Coreia do Norte.

EUA detalha malwares do HIDDEN COBRA

Antes de mais nada, os seguintes relatórios de MARs (em inglês) visam ajudar as organizações a detectar a atividade do HIDDEN COBRA:

Portanto, vamos dar uma olhada em cada malware detalhado nos relatórios de MARs recém-lançados:

BISTROMATH: um implante RAT completo;
SLICKSHOES: um disseminador Themida;
CROWDEDFLOUNDER: um executável do Windows de 32 bits com pacote Themida, projetado para descompactar e executar um binário RAT (Remote Access Trojan) na memória;
HOTCROISSANT: um implante de sinalizador completo usado para realizar pesquisas no sistema, upload/download de arquivos, execução de processos e comandos e realização de capturas de tela;
ARTFULPIE: um implante que realiza o download, o carregamento e a execução na memória de uma DLL de um URL codificado;
BUFFETLINE: um implante de sinalização completo.

Além disso, as agências dos EUA atualizaram as informações incluídas em um relatório da MARs sobre o trojan backdoor baseado em proxy HOPLIGHT que foi analisado pela primeira vez em abril de 2019.

Cada relatório inclui “descrições de malware, ações de resposta sugeridas e técnicas de mitigação recomendadas”.

Ainda mais, o US Cyber Command anunciou o upload de amostras de malware para o site VirusTotal:

Malware attributed to #NorthKorea by @FBI_NCIJTF just released here: https://t.co/cBqSL7DJzI. This malware is currently used for phishing & remote access by #DPRK cyber actors to conduct illegal activity, steal funds & evade sanctions. #HappyValentines @CISAgov @DHS @US_CYBERCOM

— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) February 14, 2020

Proteja-se!

Por fim, os relatórios da CISA fornecem as seguintes recomendações aos usuários e administradores para fortalecer a postura de segurança dos sistemas de suas organizações:

Mantenha assinaturas e mecanismos antivírus atualizados.
Mantenha os patches do sistema operacional atualizados.
Desative os serviços de compartilhamento de arquivos e impressoras. Porém, se esses serviços forem necessários, use senhas fortes ou autenticação do Active Directory.
Restrinja a capacidade (permissões) dos usuários de instalar e executar aplicativos de software indesejados. Além disso, não adicione usuários ao grupo de administradores locais, a menos que seja necessário.
Imponha uma política de senha forte e implemente alterações regulares de senha.
Tenha cuidado ao abrir anexos de e-mail, mesmo que o anexo seja esperado e o remetente pareça ser conhecido.
Habilite um firewall pessoal nas estações de trabalho da agência, configurado para negar pedidos de conexão não solicitados.
Desative serviços desnecessários nas estações de trabalho e servidores da agência.
Procure e remova anexos de e-mail suspeitos.
Monitore os hábitos de navegação na web dos usuários; restrinja o acesso a sites com conteúdo desfavorável.
Tenha cuidado ao usar mídia removível. Por exemplo: pendrives USB, unidades externas, CDs, etc.
Escaneie todo o software baixado da internet antes da execução.
Mantenha a consciência situacional das ameaças mais recentes. Ainda mais, implemente listas de controle de acesso (ACLs) apropriadas.

Fonte: Security Affairs

Assuntos