Hackers norte-coreanos estão usando variante do malware BLINDINGCAN
O Departamento de Segurança Interna dos Estados Unidos (DHS) divulgou um alerta contra o novo cavalo de troia de acesso remoto (RAT) BLINDINGCAN usado pelo Grupo Lazarus, vinculado à Coreia do Norte.
O que aconteceu?
Na semana passada, as agências federais relataram que o BLINDINGCAN (também conhecido como DRATzarus) tem um amplo conjunto de recursos técnicos para prejudicar as vítimas.
- De acordo com relatos, os hackers patrocinados pelo estado norte-coreano estão usando o BLINDINGCAN para realizar uma série de ataques contra empresas americanas e estrangeiras dos setores de defesa militar e aeroespacial.
- Os hackers se fazem passar por recrutadores de grandes corporações e atraem os funcionários para um processo de entrevista e pedem que abram documentos Office ou PDF (maliciosos), o que acaba infectando seus sistemas.
- Assim que os hackers obtêm acesso aos sistemas das vítimas, eles realizam o reconhecimento para reunir informações em torno das principais tecnologias militares e de energia.
O culpado oculto
O governo dos EUA e o FBI suspeitam que os atores da ameaça HIDDEN COBRA podem estar por trás dessas atividades. Os atores estão usando as variantes do malware BLINDINGCAN em conjunto com servidores proxy para manter uma presença nas redes das vítimas e explorar ainda mais a rede, afirma o FBI.
A semelhança impressionante
Os ataques mais recentes compartilham semelhanças com algumas campanhas descobertas recentemente.
- Entre junho e agosto de 2020, ClearSky havia investigado uma campanha ofensiva, apelidada de Operação Dream Job , atribuída com alta probabilidade à Coreia do Norte (possível HIDDEN COBRA).
- No final de julho, a McAfee Advanced Threat Research (ATR) relatou uma campanha, apelidada de Operação Estrela do Norte , e atribuída ao ator da ameaça Hidden Cobra.
- De acordo com a ZDNet , o novo malware BLINDINGCAN foi usado como uma carga final nesses ataques também.
CISA Warns
A Cibersegurança e Agência de Segurança de Infraestrutura (CISA) freqüentemente publica alertas de segurança sobre os hackers HIDDEN COBRA, um dos quatro atores de ameaça mais ativos para atividades mal-intencionadas da Coréia do Norte. A agência recomendou que usuários e administradores reforcem a postura de segurança dos sistemas de suas organizações e sigam as dicas fornecidas por eles.