ELECTRICFISH, la nueva herramienta del Grupo Lázarus

Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS

El Departamento de Seguridad Nacional (DHS) de EE. UU. Y el FBI emitieron otra alerta conjunta sobre una nueva pieza de malware que el prolífico grupo de piratería de APT de Corea del Norte, Grupo Lazarus, ha estado utilizando activamente en la naturaleza.

Se cree que Hidden Cobra, también conocido como el Grupo Lazarus y Guardianes de la Paz, está respaldado por el gobierno de Corea del Norte y es conocido por lanzar ciberataques contra organizaciones de medios de comunicación, sectores aeroespaciales, financieros y de infraestructura crítica en todo el mundo.

El grupo de hacking fue el mismo asociado con la amenaza de ransomware WannaCry de 2017, el hack de Sony Pictures 2014 y el ataque de SWIFT Banking en 2016. Ahora, el DHS y el FBI han descubierto una nueva variante de malware, llamada ELECTRICFISH., que los hackers de Grupo Lazarus han estado utilizando para canalizar en secreto el tráfico de los sistemas informáticos comprometidos.

El malware implementa un protocolo personalizado configurado con un servidor / puerto proxy y un nombre de usuario y contraseña de proxy, lo que permite a los piratas informáticos eludir la autenticación requerida del sistema comprometido para llegar fuera de la red.

El malware ElectricFish es una utilidad de línea de comandos cuyo propósito principal es canalizar rápidamente el tráfico entre dos direcciones IP.

El malware permite a los piratas informáticos de Grupo Lazarus configurar con un servidor / puerto proxy y un nombre de usuario y contraseña de proxy, lo que hace posible la conexión a un sistema que se encuentra dentro de un servidor proxy, lo que permite a los atacantes evitar la autenticación requerida del sistema infectado.

«Intentará establecer sesiones TCP con la dirección IP de origen y la dirección IP de destino. Si se realiza una conexión con las IP de origen y de destino, esta utilidad maliciosa implementará un protocolo personalizado, que permitirá que el tráfico se realice de manera rápida y eficiente. canalizado entre dos máquinas «, dice la alerta.

«Si es necesario, el malware puede autenticarse con un proxy para poder alcanzar la dirección IP de destino. No se requiere un servidor proxy configurado para esta utilidad».

Una vez que ElectricFish se autentica con el proxy configurado, inmediatamente intenta establecer una sesión con la dirección IP de destino, ubicada fuera de la red víctima y la dirección IP de origen. El ataque usaría indicaciones de comando para especificar el origen y el destino para el tráfico de túneles.

Aunque el sitio web de US-CERT no indica si, o en caso afirmativo, qué organizaciones de EE. UU. Ya se han infectado con este nuevo malware, el informe conjunto de análisis de malware (MAR) dice que se emitió la alerta «para habilitar la defensa de la red y reducirla. la exposición a la actividad cibernética maliciosa del gobierno de Corea del Norte «.

Esta no es la primera vez que el DHS y el FBI emiten una alerta conjunta para advertir a los usuarios y organizaciones sobre el malware de Grupo Lazarus.

A fines del año pasado, los departamentos de los EE. UU. Advirtieron sobre el  malware FastCash que Grupo Lazarus había estado utilizando desde 2016 para comprometer los servidores de aplicaciones de cambio de pago en los bancos de África y Asia en un intento de retirar los cajeros automáticos de los bancos.

Hace poco menos de un año, el DHS y el FBI también publicaron un aviso de alerta a los usuarios dedos programas maliciosos diferentes: un troyano de acceso remoto (RAT) completamente funcional conocido como Joanap y un gusano de Bloqueo de mensajes del servidor (SMB) llamado Brambul, vinculados a Hidden Cobra.

En 2017, el US-CERT también emitió una alerta que detallaba el malware Hidden Cobra llamado Delta Charlie, una herramienta DDoS que creían que los piratas informáticos de Corea del Norte utilizaban para lanzar ataques distribuidos de denegación de servicio contra sus objetivos.

 

 

Por Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS