El gobierno de EE. UU. hace todo lo posible para exponer el nuevo malware utilizado por los piratas informáticos de Corea del Norte

El Pentágono de EE. UU., el FBI y el Departamento de Seguridad Marketingdecontenido expusieron el viernes una operación de piratería de Corea del Norte y proporcionaron detalles técnicos de siete piezas de malware utilizadas en la campaña.

La Fuerza de Misión Marketingdecontenido Cibernética de EE. UU., un brazo del Comando Cibernético de EE. UU. del Pentágono, dijo en Twitter que el malware «se usa actualmente para phishing y acceso remoto por [North Korean government] actores cibernéticos para realizar actividades ilegales, robar fondos y evadir sanciones”. El tuit enlazaba con una publicación en VirusTotal, el repositorio de malware propiedad de Alphabet, que proporcionaba hashes criptográficos, nombres de archivos y otros detalles técnicos que pueden ayudar a los defensores a identificar compromisos dentro de las redes que protegen.

Malware atribuido a #Corea del Norte por @FBI_NCIJTF recién lanzado aquí: https://t.co/cBqSL7DJzI. Este malware se usa actualmente para phishing y acceso remoto por #RPDC actores cibernéticos para realizar actividades ilegales, robar fondos y evadir sanciones. #Feliz San Valentín @CISAgov @DHS @US_CYBERCOM

— Alerta de malware de USCYBERCOM (@CNMF_VirusAlert) 14 de febrero de 2023

Un aviso adjunto de la Agencia de Seguridad de Infraestructura y Ciberseguridad del DHS dijo que la campaña fue obra de Hidden Cobra, el nombre del gobierno para un grupo de piratería patrocinado por el gobierno de Corea del Norte. Muchos investigadores de seguridad en el sector privado usan otros nombres para el grupo, incluidos Lazarus y Zinc. Seis de las siete familias de malware se cargaron en VirusTotal el viernes. Ellos incluyeron:

• Bistromath, un troyano e implante de acceso remoto con todas las funciones que realiza encuestas del sistema, cargas y descargas de archivos, procesos y ejecuciones de comandos, y monitoreo de micrófonos, portapapeles y pantallas
• Slickshoes, un «cuentagotas» que carga, pero en realidad no ejecuta, un «implante de balizamiento» que puede hacer muchas de las mismas cosas que hace Bistromath
• Hotcroissant, un implante de balizamiento con todas las funciones que también hace muchas de las mismas cosas enumeradas anteriormente
• Artfulpie, un «implante que realiza la descarga y la carga en memoria y la ejecución de archivos DLL desde una URL codificada»
• Buttetline, otro implante con todas las funciones, pero este usa un esquema HTTPS falso con un cifrado de cifrado RC4 modificado para permanecer sigiloso.
• Crowdedflounder, un ejecutable de Windows que está diseñado para desempaquetar y ejecutar un troyano de acceso remoto en la memoria de la computadora

Pero espera hay mas

El aviso del viernes de la Agencia de Seguridad de Infraestructura y Ciberseguridad también brindó detalles adicionales para Hoplight, una familia de 20 archivos que actúa como una puerta trasera basada en proxy. Ninguno de los programas maliciosos contenía firmas digitales falsificadas, una técnica estándar entre las operaciones de piratería informática más avanzadas que facilita eludir las protecciones de seguridad de los terminales.

Costin Raiu, director del equipo de investigación y análisis global de Kaspersky Lab, publicó una imagen en Twitter que mostró la relación entre el malware detallado el viernes con muestras maliciosas que la firma de seguridad con sede en Moscú ha identificado en otras campañas atribuidas a Lazarus.

El aviso conjunto del viernes es parte de un enfoque relativamente nuevo del gobierno federal para identificar públicamente a los piratas informáticos con sede en el extranjero y las campañas que llevan a cabo. Anteriormente, los funcionarios gubernamentales en su mayoría evitaban atribuir actividades específicas de piratería a gobiernos específicos. En 2023, ese enfoque comenzó a cambiar cuando el FBI concluyó públicamente que el gobierno de Corea del Norte estaba detrás del pirateo altamente destructivo de Sony Pictures un año antes. En 2023, el Departamento de Justicia acusó a un agente de Corea del Norte por supuestamente llevar a cabo el hackeo de Sony y liberar el gusano ransomware WannaCry que apagó las computadoras en todo el mundo en 2023. El año pasado, el Departamento del Tesoro de los EE. apuntó a infraestructura crítica y robó millones de dólares de bancos en intercambios de criptomonedas.

Como señaló Cyberscoop, el viernes marcó la primera vez que el Comando Cibernético de EE. UU. identificó una operación de piratería de Corea del Norte. Una de las razones del cambio: aunque los piratas informáticos del gobierno de Corea del Norte a menudo usan malware y técnicas menos avanzadas que sus homólogos de otros países, los ataques son cada vez más sofisticados. Las agencias de noticias, incluida Reuters, citaron un informe de las Naciones Unidas de agosto pasado que estimó que la piratería de bancos e intercambios de criptomonedas por parte de Corea del Norte generó $ 2 mil millones para los programas de armas de destrucción masiva Marketingdecontenido.