S21sec, compañía española de seguridad digital, lanzó una alerta acerca del grupo de ciberespías conocidos por distintos nombres, entre ellos: Lazarus Group, Hidden Cobra, o Guardians of Peace, los cuales presuntamente están relacionados con el gobierno de Corea del Norte. Se han descubierto 2 nuevas amenazas de espionaje que sustraen información en países extranjeros: una herramienta de acceso remoto (RAT) conocida como Joanap; y un gusano conocido como Brambul.
Joanap es un malware empleado para administrar redes de bots. Tiene la capacidad de infiltrarse en un dispositivo Windows para filtrar datos, descargar, ejecutar cargas secundarias e iniciar las comunicaciones proxy. El malware cifra los datos robados y los transfiere al grupo espía.
Brambul es un gusano que funciona como un archivo de biblioteca de enlace dinámico de servicio, que se descarga e instala en las redes de las víctimas mediante un componente empleado para instalar el malware (dropper).
Brambul emplea el protocolo de red SMB de Windows 32 bits para obtener acceso no autorizado, y lanzar ataques de contraseña de fuerza bruta empleando una lista de contraseñas incrustadas. Además, el malware genera direcciones IP aleatorias para futuros ataques. Otras funcionalidades incluyen:
Recolección de información del sistema.
Aceptación de argumentos de línea de comandos.
Propagación a través de la red.
Empleo de fuerza bruta de credenciales de inicio de sesión SMB.
Generar mensajes de correo electrónico que contienen información del sistema host de destino.
Lazarus Group
A dicho grupo se le atribuyen ataques como el que sufrió Sony en 2014, el robo de 80 millones de dólares al Banco de Bangladesh, así como el troyano de acción remota (RAT), conocido por FallChill3, dirigido contra infraestructuras críticas de sectores aeroespacial, telecomunicaciones y financiero.
Al grupo Lazarus también se le atribuyen otras acciones, incluyendo herramientas de backdoor como Volgmer, que desde 2013 se emplea contra el sector financiero.
Recomendaciones para usuarios
Ante la posibilidad de verse afectados por esta amenaza se recomienda:
Mantener actualizados los sistemas operativos y el software con los últimos parches.
Mantener el software antivirus actualizado y escanear todo el software descargado de Internet antes de ejecutarlo.
Restringir los permisos de los usuarios para instalar y ejecutar aplicaciones de software no deseadas.
Buscar y eliminar archivos adjuntos de correo electrónico sospechosos.
Deshabilitar el servicio de compartir archivos e impresoras si no son necesarios. Si se requiere este servicio usar contraseñas seguras o autenticación de Active Director.
Habilitar un servidor de seguridad en las estaciones de trabajo de la organización y configurarlo para denegar las solicitudes de conexión no deseadas.
