TLP: AMBER
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto:Divulgación de información confidencial.

Descripción

Algunas instituciones de seguridad en Estados Unidos identificaron la variante de un troyano de acceso remoto (RAT) utilizado por el gobierno de Corea del Norte. Este programa malicioso se ha identificado con el nombre de “BLINDINGCAN”.

BLINDINGCAN se distribuye por medio de correo electrónico y tiene como objetivo recopilar información confidencial de las organizaciones, de manera central de tecnologías militares y energéticas.

A principios de este año una campaña maliciosa con BLINDINGCAN fue dirigida a los contratistas de gobierno de Estados Unidos, en esta se utilizó infraestructura comprometida de varios países para alojar el servidor de comando y control (C2). Según las investigaciones, los atacantes engañan a las víctimas con supuestas ofertas de trabajo, posteriormente envían correos electrónicos a los usuarios referentes a falsas entrevistas.

En el correo recibido por las víctimas se encuentran cuatro documentos de Microsoft Word (.docx) usados como señuelos, los cuales realizan la conexión a dominios externos para descargar otros archivos, y otros dos documentos del tipo Dynamic-Link Libraries (DLL).

Cuando los archivos .docx intentan conectarse a dominios externos, se envía una DLL de 32 y 64 bits denominada “iconcache.db que instala una DLL de 32 o 64 bits, respectivamente. La DLL “iconcache.db” descomprime y ejecuta una variante de Hidden Cobra (nombre que recibe la actividad cibernética maliciosa del gobierno de Corea del Norte) y el RAT que contiene funciones integradas para operaciones remotas que brindan al atacante la capacidad de realizar varias actividades en el sistema de la víctima, entre ellas recopilar información confidencial.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas:

  • Sistemas operativos Windows.

Medidas de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 0fc12e03ee93d19003b2dd7117a66a3da03bd6177ac6eb396ed52a40be913db6
    • 158ddb85611b4784b6f5ca7181936b86eb0ec9a3c67562b1d57badd7b7ec2d17
    • 586d012540ed1244572906e3733a0cb4bba90a320da82f853e5dfac82c5c663e
    • 6a3446b8a47f0ab4f536015218b22653fff8b18c595fbc5b0c09d857eba7c7a1
    • 7933716892e0d6053057f5f2df0ccadf5b06dc739fea79ee533dd0cec98ca971
    • d40ad4cd39350d718e189adf45703eb3a3935a7cf8062c20c663bc14d28f78c
    • 58027c80c6502327863ddca28c31d352e5707f5903340b9e6ccc0997fcb9631d
    • 7d507281e2e21476ff1af492ad9f574b14cbf77eb4cda9b67e4256318c7c6bbd
    • 8b53b519623b56ab746fdaf14d3eb402e6fa515cde2113a07f5a3b4050e98050
    • b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9
    • bdfd16dc53f5c63da0b68df71c6e61bad300e59fd5748991a6b6a3650f01f9a1
    • d5186efd8502a3a99a66729cb847d3f4be8937a3fec1c2655b6ea81f57a314f5
  • Dominios:
    • Agarwalpropertyconsultants[.]com
    • anca-aste[.]it
    • automercado[.]co[.]cr
    • curiofirenze[.]com
  • Direcciones IP:
    • 192.99.20[.]39
    • 199.79.63[.]24
    • 51.68.152[.]96
    • 54.241.91[.]49

Medidas de conteción

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Concientizar a usuarios finales respecto a este tipo de campañas.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Verificar la veracidad de la extensión de los archivos.
  • De no ser indispensable, restringir a usuarios la capacidad de instalar programas en los equipos.

Referencias