Governo dos EUA detalha malwares do grupo HIDDEN COBRA vinculado à Coreia do Norte

Nova lei norte-americana exigiria que fabricantes deixassem uma backdoor
Imagem: Wikimedia.

O FBI, o Comando Cibernético dos EUA e o Departamento de Segurança Interna publicaram detalhes técnicos de uma nova operação envolvendo malwares dos hackers HIDDEN COBRA, que são vinculados à Coreia do Norte.

Assim, os especialistas do governo divulgaram novos e atualizados Relatórios de Análise de Malware (MARs) relacionados a novas famílias de malware envolvidas em novos ataques realizados pelo HIDDEN COBRA.

Governo dos EUA detalha malwares do grupo HIDDEN COBRA vinculado à Coreia do Norte
O grupo HIDDEN COBRA é vinculado à Coreia do Norte.

EUA detalha malwares do HIDDEN COBRA

Antes de mais nada, os seguintes relatórios de MARs (em inglês) visam ajudar as organizações a detectar a atividade do HIDDEN COBRA:

Portanto, vamos dar uma olhada em cada malware detalhado nos relatórios de MARs recém-lançados:

  • BISTROMATH: um implante RAT completo;
  • SLICKSHOES: um disseminador Themida;
  • CROWDEDFLOUNDER: um executável do Windows de 32 bits com pacote Themida, projetado para descompactar e executar um binário RAT (Remote Access Trojan) na memória;
  • HOTCROISSANT: um implante de sinalizador completo usado para realizar pesquisas no sistema, upload/download de arquivos, execução de processos e comandos e realização de capturas de tela;
  • ARTFULPIE: um implante que realiza o download, o carregamento e a execução na memória de uma DLL de um URL codificado;
  • BUFFETLINE: um implante de sinalização completo.

Além disso, as agências dos EUA atualizaram as informações incluídas em um relatório da MARs sobre o trojan backdoor baseado em proxy HOPLIGHT que foi analisado pela primeira vez em abril de 2019.

Cada relatório inclui “descrições de malware, ações de resposta sugeridas e técnicas de mitigação recomendadas”.

Ainda mais, o US Cyber Command anunciou o upload de amostras de malware para o site VirusTotal:

Proteja-se!

Por fim, os relatórios da CISA fornecem as seguintes recomendações aos usuários e administradores para fortalecer a postura de segurança dos sistemas de suas organizações:

  • Mantenha assinaturas e mecanismos antivírus atualizados.
  • Mantenha os patches do sistema operacional atualizados.
  • Desative os serviços de compartilhamento de arquivos e impressoras. Porém, se esses serviços forem necessários, use senhas fortes ou autenticação do Active Directory.
  • Restrinja a capacidade (permissões) dos usuários de instalar e executar aplicativos de software indesejados. Além disso, não adicione usuários ao grupo de administradores locais, a menos que seja necessário.
  • Imponha uma política de senha forte e implemente alterações regulares de senha.
  • Tenha cuidado ao abrir anexos de e-mail, mesmo que o anexo seja esperado e o remetente pareça ser conhecido.
  • Habilite um firewall pessoal nas estações de trabalho da agência, configurado para negar pedidos de conexão não solicitados.
  • Desative serviços desnecessários nas estações de trabalho e servidores da agência.
  • Procure e remova anexos de e-mail suspeitos.
  • Monitore os hábitos de navegação na web dos usuários; restrinja o acesso a sites com conteúdo desfavorável.
  • Tenha cuidado ao usar mídia removível. Por exemplo: pendrives USB, unidades externas, CDs, etc.
  • Escaneie todo o software baixado da internet antes da execução.
  • Mantenha a consciência situacional das ameaças mais recentes. Ainda mais, implemente listas de controle de acesso (ACLs) apropriadas.

Fonte: Security Affairs