La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado una alerta que describe una nueva cepa de malware empleada por el grupo de piratas informáticos norcoreanos conocido como Lazarus group o Hidden Cobra en ataques contra empresas estadounidenses y extranjeras que operan en los sectores de defensa militar y aeroespacial. Algunos de los ataques fueron atribuidos por los investigadores a campañas de ciberespionaje rastreadas como Operación North Star y Operación Dream Job.
El malware conocido como BLINDINGCAN fue identificado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI). Según las dos agencias, BLINDINGCAN es un troyano de acceso remoto que viene con funciones integradas para operaciones remotas que brindan varias capacidades en el sistema de la vÃctima.
Los actores maliciosos aprovechan este malware junto con los servidores proxy para mantener una presencia en las redes de las vÃctimas y para una mayor explotación de la red. Esta táctica se observó en campañas destinadas a robar tecnologÃas militares y energéticas clave de los contratistas del gobierno.
Las campañas maliciosas involucraron a los actores de amenazas que empleaban documentos maliciosos con ofertas de trabajo para engañar a las vÃctimas para que instalaran el malware que roba información en el sistema de un objetivo. Los piratas informáticos utilizaron infraestructura comprometida de varios paÃses para alojar su infraestructura de comando y control (C2) y distribuir implantes al sistema de la vÃctima, según la alerta.
“CISA recibió cuatro documentos de Microsoft Word Open Extensible Markup Language (XML) (.docx), dos Dynamic-Link Libraries (DLL). Los archivos .docx intentan conectarse a dominios externos para descargarlos. Se envió una DLL de 32 y 64 bits que instala una DLL de 32 y 64 bits denominada "iconcache.db" respectivamente. La DLL "iconcache.db" descomprime y ejecuta una variante de Hidden Cobra RAT ”, dijo la agencia.
