La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado una alerta que describe una nueva cepa de malware empleada por el grupo de piratas informáticos norcoreanos conocido como Lazarus group o Hidden Cobra en ataques contra empresas estadounidenses y extranjeras que operan en los sectores de defensa militar y aeroespacial. Algunos de los ataques fueron atribuidos por los investigadores a campañas de ciberespionaje rastreadas como Operación North Star y Operación Dream Job.
El malware conocido como BLINDINGCAN fue identificado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI). Según las dos agencias, BLINDINGCAN es un troyano de acceso remoto que viene con funciones integradas para operaciones remotas que brindan varias capacidades en el sistema de la víctima.
Los actores maliciosos aprovechan este malware junto con los servidores proxy para mantener una presencia en las redes de las víctimas y para una mayor explotación de la red. Esta táctica se observó en campañas destinadas a robar tecnologías militares y energéticas clave de los contratistas del gobierno.
Las campañas maliciosas involucraron a los actores de amenazas que empleaban documentos maliciosos con ofertas de trabajo para engañar a las víctimas para que instalaran el malware que roba información en el sistema de un objetivo. Los piratas informáticos utilizaron infraestructura comprometida de varios países para alojar su infraestructura de comando y control (C2) y distribuir implantes al sistema de la víctima, según la alerta.
“CISA recibió cuatro documentos de Microsoft Word Open Extensible Markup Language (XML) (.docx), dos Dynamic-Link Libraries (DLL). Los archivos .docx intentan conectarse a dominios externos para descargarlos. Se envió una DLL de 32 y 64 bits que instala una DLL de 32 y 64 bits denominada "iconcache.db" respectivamente. La DLL "iconcache.db" descomprime y ejecuta una variante de Hidden Cobra RAT ”, dijo la agencia.
