HOPLIGHT, un nuevo troyano backdoor vinculado a Lazarus
- Endpoint
Esta organización cibercriminal respaldada por el gobierno norcoreano está detrás del malware, diseñado para atacar infraestructuras críticas. El gobierno estadounidense teme que un ataque remoto pueda infligir un daño importante en sectores críticos del país.
El FBI y el Departamento de Seguridad Nacional de Estados Unidos alertan del hallazgo de HOPLIGHT, un troyano backdoor crítico vinculado al grupo de APT norcoreano Lazarus, también conocido como Hidden Cobra. El malware HOPLIGHT se dirige a infraestructuras críticas y cualquier actividad maliciosa debe informarse inmediatamente al FBI.
Los expertos en seguridad analizaron nueve archivos ejecutables maliciosos, incluidos siete que eran aplicaciones proxy integradas para simular una conexión segura para ocultar el tráfico saliente al servidor de comando y control donde se cargan los archivos robados. "Los proxies tienen la capacidad de generar sesiones falsas de reconocimiento de TLS usando certificados SSL públicos válidos, disfrazando conexiones de red con actores maliciosos remotos", señala la alerta.
Una vez que el spyware ha infectado los sistemas, recopila información del sistema a través de un ejecutable PE32, lee, escribe y mueve archivos, enumera unidades del sistema, crea y termina procesos, inyecta código en procesos en ejecución, crea, inicia y detiene servicios, modifica configuración de registro, se conecta a un host remoto o carga y descarga archivos.
Todas las organizaciones deben actualizar inmediatamente los sistemas y aplicar todos los parches necesarios. El gobierno estadounidense teme que un ataque remoto pueda infligir un daño importante en la infraestructura y en sectores críticos del país.
Lazarus es una organización respaldada por el gobierno de Corea del Norte, responsable de grandes ataques nacionales y mundiales patrocinados por el estado en sectores de servicios financieros, entretenimiento y aeroespacial. Se cree que HIDDEN COBRA comenzó a atacar a las víctimas en 2009. El grupo supuestamente estuvo detrás del ataque a Sony Pictures Entertainment en 2014; de los ataques a varios bancos en Ecuador, Vietnam, Polonia, México, Bangladesh y Taiwán que llevaron al robo de 1.000 millones de dólares; y del infame ataque de ransomware WannaCry, que paralizó decenas de miles de sistemas informáticos en todo el mundo.