ecucert
Centro de respuesta a incidentes informáticos del Ecuador
Archivo Llaves
Inicio
Nosotros
Servicios
Incidente
Alertas
TLP
Guías y Consejos
Contacto
Copyright © 2017 EcuCERT
![Amenaza COPPERHEDGE (2/junio/2020) La Amenaza COPPERHEDGE es un RAT (troyano de acceso remoto) que también se conoce como Manuscrypt., que es una herramienta de acceso remoto, utilizada en APT (amenaza persistente avanzada) con el objetivo de ser utilizado en el intercambio de criptomonedas, es capaz de ejecutar comandos arbitrarios, realizar reconocimientos del sistema y extraer datos. Se han identificado seis distintas variantes, estas están categorizadas basadas en estructura y código común. Como rastro de su ejecución queda un símbolo en algunos de los implantes que identifica un nombre de clase de "WinHTTP_Protocol" y más tarde "WebPacket". Este malware apareció por primera vez hace dos años, en 2018. La amenaza COPPERHEDGE se implementó en los ataques dirigidos a sistemas ubicados en Corea del Sur. Este malware y los descubiertos: Taintedscribe y Pebbledash, son objeto de análisis recientes, y se cree que los tres son operados por el grupo “APT Hidden Cobra”, operado por Corea del Norte. Este grupo de ciberdelincuentes también se conoce como “Lazarus APT”. El análisis fue realizado en los Estados Unidos por CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad), el Departamento de Defensa y el FBI. La mayoría de las copias del RAT COPPERHEDGE son casi idénticas. Sin embargo, hay varios, que incluyen características adicionales que permiten a sus creadores realizar una amplia variedad de tareas en el sistema comprometido como: • Ejecutar comandos remotos. • Manipular la configuración de la carga útil. • Crear nuevos procesos. • Matar procesos activos. • Listar particiones de disco. • Recopilar información sobre el hardware y el software del host. • Entregar y ejecutar cargas adicionales. • Recopilar de archivos de la PC comprometida. • Autodestruir el archivo implantado. Dependiendo de la firma de detección, este RAT, puede ser identificado por los siguientes alias: Trojan.Manuscrypt.Win32.10, BScope.Trojan.Manuscrypt, Trojan.Win32.Genus.BGU, TROJ_NUKESPED.B [TrendMicro], malware.gen-ra, Backdoor.Cruprox [Symantec], Troj / Agent-AYKU [ Sophos], Trojan.Win32.Malware, Trojan.Win32.Manuscrypt.eyleld, Trojan: Win32 / Autophyte.M! Dha [Microsoft], HiddenCobra! 12C786C49036 [McAfee], Trojan (005202c91) [K7AntiVirus], Trojan-Spy.Agent [Ikarus], Gen: Variant.Graftor.452205 (B) y Win32 / NukeSped.AG variante de troyano. En abril, el gobierno de los EE. UU. Emitió directrices sobre las actividades de piratería de Corea del Norte y ofreció una recompensa de $ 5 millones por cualquier información sobre las actividades ilegales de los piratas informáticos de la RPDC. Durante 2017 y 2018, los grupos de piratería patrocinados por la RPDC estuvieron detrás de los robos de criptomonedas que provocaron pérdidas de $ 571 millones. Más adelante en 2019, el Tesoro de los Estados Unidos emitió sanciones contra los tres grupos de piratería de Corea del Norte: Lazarus, Andariel y Bluenoroff. RECOMENDACIONES ADICIONALES Se encontraron las siguientes URL que se encontrarían comprometidas con este RAT, por lo que se recomienda bloquear los nombres de dominio y las direcciones IP asociadas a ellos. • 919xy.com/contactus/about.php • qdbazaar.com/include/footer.php • 028xmz.com/include/common.php • 168wangpi.com/include/charset.php • 33cow.com/include/control.php • 3x-tv.com/plugins/editors/about.php • 51shousheng.com/include/partview.php • 530hr.com/data/common.php • 92myhw.com/include/inc/inc_common.php • 97nb.net/include/arc.sglistview.php • aedlifepower.com/include/image.php • aisou123.com/include/dialog/common.php • aloe-china.com/include/bottom.php • anlway.com/include/arc.search.class.php • ap8898.com/include/arc.search.class.php • apshenyihl.com/include/arc.speclist.class.php • as-brant.ru/wp-content/themes/shapely/common.php • aurumgroup.co.id/wp-includes/rest.php • bogorcenter.com/wp-content/themes/index2.php • cabba-cacao.com/wp-content/themes/integral/about.php • castorbyg.dk/wp-content/themes/302.php • creativefishstudio.com/newbiesspeak/left.php • danagloverinteriors.com/wp-content/plugins/jetpack/common.php • duratransgroup.com/engl/lang.php • eventum.cwsdev3.biz/wp-includes/common.php • eygingenieros.com/wp-includes/common.php • growthincone.com/board.php • inverstingpurpose.com/head.php • locphuland.com/wp-content/themes/hikma/total.php • markcoprintandcopy.com/data/helper.php • marmarademo.com/include/extend.php • matthias-dlugi.de/wp-content/themes/twentyfifteen/helper.php • new.titanik.fr/wp-includes/common.php • nuokejs.com/contactus/about.php • pakteb.com/include/left.php • rhythm86.com/wp-content/themes/twentysixteen/about.php • rxrenew.us/wp-content/themes/hestias/index.php • sensationalsecrets.com/js/left.php • stokeinvestor.com/common.php • streamf.ru//wp-content/index2.php • theinspectionconsultant.com/wp-content/plugins/akismet/index1.php • vinhsake.com//wp-content/uploads/index2.php REFERENCIAS • Administrador. (2020). Significado de Ransomware. Recuperado 21 de mayo de 2020, de https://www.significados.com/ransomware/ • Administrador. (2020). Malware Analysis Report (AR20-133A). Recuperado 21 de mayo de 2020, de https://www.us-cert.gov/ncas/analysis-reports/ar20-133a • Administrador (2020). 2CMV20-00062-01 CSIRT informa sobre tres variantes de malware activos. Recuperado 21 de mayo de 2020, de https://www.csirt.gob.cl/alertas/2cmv20-00062-01/ • Administrador. (2020). Malware Analysis Report (AR20-133A). Recuperado 21 de mayo de 2020, de https://www.us-cert.gov/ncas/analysis-reports/ar20-133a • Administrador. (2020). Malware Analysis Report (AR20-133B). Recuperado 21 de mayo de 2020, de https://www.us-cert.gov/ncas/analysis-reports/ar20-133b • Administrador. (2020). Malware Analysis Report (AR20-133C). Recuperado 21 de mayo de 2020, de https://www.us-cert.gov/ncas/analysis-reports/ar20-133c • GoldSparrow. (2020). COPPERHEDGE. Recuperado 21 de mayo de 2020, de https://www.enigmasoftware.com/copperhedge-removal/ • Olenick D. (2020). Analysis of three Hidden Cobra malware variants issued by CISA. Recuperado 21 de mayo de 2020, de https://www.scmagazineuk.com/analysis-three-hidden-cobra-malware-variants-issued-cisa/article/1683169](images/u24180-179.png?crc=114662224)
