Amenaza COPPERHEDGE (2/junio/2020)﷯ La Amenaza COPPERHEDGE es un RAT (troyano de acceso remoto) que también se conoce como Manuscrypt., que es una herramienta de acceso remoto, utilizada en APT (amenaza persistente avanzada) con el objetivo de ser utilizado en el intercambio de criptomonedas, es capaz de ejecutar comandos arbitrarios, realizar reconocimientos del sistema y extraer datos. Se han identificado seis distintas variantes, estas están categorizadas basadas en estructura y código común. Como rastro de su ejecución queda un símbolo en algunos de los implantes que identifica un nombre de clase de "WinHTTP_Protocol" y más tarde "WebPacket". Este malware apareció por primera vez hace dos años, en 2018. La amenaza COPPERHEDGE se implementó en los ataques dirigidos a sistemas ubicados en Corea del Sur. Este malware y los descubiertos: Taintedscribe y Pebbledash, son objeto de análisis recientes, y se cree que los tres son operados por el grupo “APT Hidden Cobra”, operado por Corea del Norte. Este grupo de ciberdelincuentes también se conoce como “Lazarus APT”. El análisis fue realizado en los Estados Unidos por CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad), el Departamento de Defensa y el FBI. La mayoría de las copias del RAT COPPERHEDGE son casi idénticas. Sin embargo, hay varios, que incluyen características adicionales que permiten a sus creadores realizar una amplia variedad de tareas en el sistema comprometido como: • Ejecutar comandos remotos. • Manipular la configuración de la carga útil. • Crear nuevos procesos. • Matar procesos activos. • Listar particiones de disco. • Recopilar información sobre el hardware y el software del host. • Entregar y ejecutar cargas adicionales. • Recopilar de archivos de la PC comprometida. • Autodestruir el archivo implantado. Dependiendo de la firma de detección, este RAT, puede ser identificado por los siguientes alias: Trojan.Manuscrypt.Win32.10, BScope.Trojan.Manuscrypt, Trojan.Win32.Genus.BGU, TROJ_NUKESPED.B [TrendMicro], malware.gen-ra, Backdoor.Cruprox [Symantec], Troj / Agent-AYKU [ Sophos], Trojan.Win32.Malware, Trojan.Win32.Manuscrypt.eyleld, Trojan: Win32 / Autophyte.M! Dha [Microsoft], HiddenCobra! 12C786C49036 [McAfee], Trojan (005202c91) [K7AntiVirus], Trojan-Spy.Agent [Ikarus], Gen: Variant.Graftor.452205 (B) y Win32 / NukeSped.AG variante de troyano. En abril, el gobierno de los EE. UU. Emitió directrices sobre las actividades de piratería de Corea del Norte y ofreció una recompensa de $ 5 millones por cualquier información sobre las actividades ilegales de los piratas informáticos de la RPDC. Durante 2017 y 2018, los grupos de piratería patrocinados por la RPDC estuvieron detrás de los robos de criptomonedas que provocaron pérdidas de $ 571 millones. Más adelante en 2019, el Tesoro de los Estados Unidos emitió sanciones contra los tres grupos de piratería de Corea del Norte: Lazarus, Andariel y Bluenoroff. RECOMENDACIONES ADICIONALES Se encontraron las siguientes URL que se encontrarían comprometidas con este RAT, por lo que se recomienda bloquear los nombres de dominio y las direcciones IP asociadas a ellos. • 919xy.com/contactus/about.php • qdbazaar.com/include/footer.php • 028xmz.com/include/common.php • 168wangpi.com/include/charset.php • 33cow.com/include/control.php • 3x-tv.com/plugins/editors/about.php • 51shousheng.com/include/partview.php • 530hr.com/data/common.php • 92myhw.com/include/inc/inc_common.php • 97nb.net/include/arc.sglistview.php • aedlifepower.com/include/image.php • aisou123.com/include/dialog/common.php • aloe-china.com/include/bottom.php • anlway.com/include/arc.search.class.php • ap8898.com/include/arc.search.class.php • apshenyihl.com/include/arc.speclist.class.php • as-brant.ru/wp-content/themes/shapely/common.php • aurumgroup.co.id/wp-includes/rest.php • bogorcenter.com/wp-content/themes/index2.php • cabba-cacao.com/wp-content/themes/integral/about.php • castorbyg.dk/wp-content/themes/302.php • creativefishstudio.com/newbiesspeak/left.php • danagloverinteriors.com/wp-content/plugins/jetpack/common.php • duratransgroup.com/engl/lang.php • eventum.cwsdev3.biz/wp-includes/common.php • eygingenieros.com/wp-includes/common.php • growthincone.com/board.php • inverstingpurpose.com/head.php • locphuland.com/wp-content/themes/hikma/total.php • markcoprintandcopy.com/data/helper.php • marmarademo.com/include/extend.php • matthias-dlugi.de/wp-content/themes/twentyfifteen/helper.php • new.titanik.fr/wp-includes/common.php • nuokejs.com/contactus/about.php • pakteb.com/include/left.php • rhythm86.com/wp-content/themes/twentysixteen/about.php • rxrenew.us/wp-content/themes/hestias/index.php • sensationalsecrets.com/js/left.php • stokeinvestor.com/common.php • streamf.ru//wp-content/index2.php • theinspectionconsultant.com/wp-content/plugins/akismet/index1.php • vinhsake.com//wp-content/uploads/index2.php REFERENCIAS • Administrador. (2020). Significado de Ransomware. Recuperado 21 de mayo de 2020, de https://www.significados.com/ransomware/ • Administrador. (2020). Malware Analysis Report (AR20-133A). Recuperado 21 de mayo de 2020, de https://www.us-cert.gov/ncas/analysis-reports/ar20-133a • Administrador (2020). 2CMV20-00062-01 CSIRT informa sobre tres variantes de malware activos. Recuperado 21 de mayo de 2020, de https://www.csirt.gob.cl/alertas/2cmv20-00062-01/ • Administrador. (2020). Malware Analysis Report (AR20-133A). Recuperado 21 de mayo de 2020, de https://www.us-cert.gov/ncas/analysis-reports/ar20-133a • Administrador. (2020). Malware Analysis Report (AR20-133B). Recuperado 21 de mayo de 2020, de https://www.us-cert.gov/ncas/analysis-reports/ar20-133b • Administrador. (2020). Malware Analysis Report (AR20-133C). Recuperado 21 de mayo de 2020, de https://www.us-cert.gov/ncas/analysis-reports/ar20-133c • GoldSparrow. (2020). COPPERHEDGE. Recuperado 21 de mayo de 2020, de https://www.enigmasoftware.com/copperhedge-removal/ • Olenick D. (2020). Analysis of three Hidden Cobra malware variants issued by CISA. Recuperado 21 de mayo de 2020, de https://www.scmagazineuk.com/analysis-three-hidden-cobra-malware-variants-issued-cisa/article/1683169
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo
Horario de atención: Lunes a Viernes 8:15 - 17:00

Copyright © 2017 EcuCERT