Governo dos EUA detalha malwares do grupo HIDDEN COBRA vinculado à Coreia do Norte

O FBI, o Comando Cibernético dos EUA e o Departamento de Segurança Interna publicaram detalhes técnicos de uma nova operação envolvendo malwares dos hackers HIDDEN COBRA, que são vinculados à Coreia do Norte.

Assim, os especialistas do governo divulgaram novos e atualizados Relatórios de Análise de Malware (MARs) relacionados a novas famílias de malware envolvidas em novos ataques realizados pelo HIDDEN COBRA.

O grupo HIDDEN COBRA é vinculado à Coreia do Norte.

EUA detalha malwares do HIDDEN COBRA

Antes de mais nada, os seguintes relatórios de MARs (em inglês) visam ajudar as organizações a detectar a atividade do HIDDEN COBRA:

• (AR20-045A) – Trojan da Coreia do Norte: BISTROMATH
• (AR20-045B) – Trojan da Coreia do Norte: SLICKSHOES
• Relatório de análise de malware (AR20-045C) – Trojan da Coreia do Norte: CROWDEDFLOUNDER
• (AR20-045D) – Trojan da Coreia do Norte: HOTCROISSANT
• (AR20-045E) – Trojan da Coreia do Norte: ARTFULPIE
• (AR20-045F) – Trojan da Coreia do Norte: BUFFETLINE
• (AR20-045G) – Trojan da Coreia do Norte: HOPLIGHT

Portanto, vamos dar uma olhada em cada malware detalhado nos relatórios de MARs recém-lançados:

• BISTROMATH: um implante RAT completo;
• SLICKSHOES: um disseminador Themida;
• CROWDEDFLOUNDER: um executável do Windows de 32 bits com pacote Themida, projetado para descompactar e executar um binário RAT (Remote Access Trojan) na memória;
• HOTCROISSANT: um implante de sinalizador completo usado para realizar pesquisas no sistema, upload/download de arquivos, execução de processos e comandos e realização de capturas de tela;
• ARTFULPIE: um implante que realiza o download, o carregamento e a execução na memória de uma DLL de um URL codificado;
• BUFFETLINE: um implante de sinalização completo.

Além disso, as agências dos EUA atualizaram as informações incluídas em um relatório da MARs sobre o trojan backdoor baseado em proxy HOPLIGHT que foi analisado pela primeira vez em abril de 2019.

Cada relatório inclui “descrições de malware, ações de resposta sugeridas e técnicas de mitigação recomendadas”.

Ainda mais, o US Cyber Command anunciou o upload de amostras de malware para o site VirusTotal:

Malware attributed to #NorthKorea by @FBI_NCIJTF just released here: https://t.co/cBqSL7DJzI. This malware is currently used for phishing & remote access by #DPRK cyber actors to conduct illegal activity, steal funds & evade sanctions. #HappyValentines @CISAgov @DHS @US_CYBERCOM

— USCYBERCOM Malware Alert (@CNMF_VirusAlert) February 14, 2020

Proteja-se!

Por fim, os relatórios da CISA fornecem as seguintes recomendações aos usuários e administradores para fortalecer a postura de segurança dos sistemas de suas organizações:

• Mantenha assinaturas e mecanismos antivírus atualizados.
• Mantenha os patches do sistema operacional atualizados.
• Desative os serviços de compartilhamento de arquivos e impressoras. Porém, se esses serviços forem necessários, use senhas fortes ou autenticação do Active Directory.
• Restrinja a capacidade (permissões) dos usuários de instalar e executar aplicativos de software indesejados. Além disso, não adicione usuários ao grupo de administradores locais, a menos que seja necessário.
• Imponha uma política de senha forte e implemente alterações regulares de senha.
• Tenha cuidado ao abrir anexos de e-mail, mesmo que o anexo seja esperado e o remetente pareça ser conhecido.
• Habilite um firewall pessoal nas estações de trabalho da agência, configurado para negar pedidos de conexão não solicitados.
• Desative serviços desnecessários nas estações de trabalho e servidores da agência.
• Procure e remova anexos de e-mail suspeitos.
• Monitore os hábitos de navegação na web dos usuários; restrinja o acesso a sites com conteúdo desfavorável.
• Tenha cuidado ao usar mídia removível. Por exemplo: pendrives USB, unidades externas, CDs, etc.
• Escaneie todo o software baixado da internet antes da execução.
• Mantenha a consciência situacional das ameaças mais recentes. Ainda mais, implemente listas de controle de acesso (ACLs) apropriadas.

Fonte: Security Affairs

O post Governo dos EUA detalha malwares do grupo HIDDEN COBRA vinculado à Coreia do Norte apareceu primeiro em SempreUPdate.

Fonte: https://sempreupdate.com.br/governo-dos-eua-detalha-malwares-do-grupo-hidden-cobra-vinculado-a-coreia-do-norte/