Atribuyen ataques a Lazarus Group .
La firma de seguridad digital, S21sec, advirtió del hallazgo de dos nuevas amenazas de espionaje relacionadas con grupos de ciberespías conocidos como Lazarus Group, Hidden Cobra o Guardians of Peace presuntamente ligados al gobierno de Corea del Norte.
La compañía española refirió que las amenazas cibernéticas tienen que ver con una herramienta de acceso remoto (RAT) conocida como Joanap; y un gusano denominado Brambul, cuyo principal objetivo es sustraer información de gobiernos de otros países.
«Joanap es un malware empleado para administrar redes de bots. Tiene la capacidad de infiltrarse en un dispositivo Windows para filtrar datos, descargar, ejecutar cargas secundarias e iniciar las comunicaciones proxy. El malware cifra los datos robados y los transfiere al grupo espía».
Por su parte, Brambul es un gusano que funciona como un archivo de biblioteca de enlace dinámico de servicio, que se descarga e instala en las redes de las víctimas mediante un componente empleado para instalar el malware (dropper).
«Brambul emplea el protocolo de red SMB de Windows 32 bits para obtener acceso no autorizado, y lanzar ataques de contraseña de fuerza bruta empleando una lista de contraseñas incrustadas. Además, el malware genera direcciones IP aleatorias para futuros ataques.
Entre las funciones que incluye este software malicioso se encuentra la recolección de información del sistema, aceptación de argumentos de línea de comandos, propagación a través de la red, el empleo de fuerza bruta de credenciales de inicio de sesión SMB y la generación de mensajes de correo electrónico que contienen información del sistema host de destino.
S21sec refirió que al grupo Lazarus Group se le atribuyen ataques como el que sufrió Sony en 2014, el robo de 80 millones de dólares al Banco de Bangladesh, así como el troyano de acción remota (RAT), conocido por FallChill3, dirigido contra infraestructuras críticas de sectores aeroespacial, telecomunicaciones y financiero.
«Al grupo Lazarus también se le atribuyen otras acciones, incluyendo herramientas de backdoor como Volgmer, que desde 2013 se emplea contra el sector financiero».
Ante la alerta, la firma de seguridad informática recomendó:
*Mantener actualizados los sistemas operativos y el software con los últimos parches.
*Mantener el software antivirus actualizado y escanear todo el software descargado de Internet antes de ejecutarlo.
*Restringir los permisos de los usuarios para instalar y ejecutar aplicaciones de software no deseadas.
*Buscar y eliminar archivos adjuntos de correo electrónico sospechosos.
*Deshabilitar el servicio de compartir archivos e impresoras si no son necesarios. Si se requiere este servicio usar contraseñas seguras o autenticación de Active Director.
*Habilitar un servidor de seguridad en las estaciones de trabajo de la organización y configurarlo para denegar las solicitudes de conexión no deseadas.
C$T-GM