Análisis de Reporte de Malware (AR19-100A) Troyano HOPLIGHT de Corea del Norte

Análisis de Reporte de Malware (AR19-100A) Troyano HOPLIGHT de  Corea del Norte

ANÁLISIS DE MALWARE

Nota

Este reporte de Malware proviene del Departamento del Interior de los Estados Unidos. La fuente es confiable y fue validado por el CSIRTdel Gobierno de Chile.

Resumen

Se han identificado variantes de un Troyano utilizado por el Gobierno de Corea del Norte. Las variantes de este Malware han sido identificadas como HOPLIGHT. Esta actividad cibernética maliciosa es denominada por Gobierno de los Estados Unidos de América como HIDDEN COBRA. Más información puede ser encontrada en el enlace: https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity

Esta información es distribuida para habilitar la red de defensa nacional y la reducir la exposición a la actividad maliciosa generada por esteMalware.

Este reporte incluye la descripción de Malware relacionados con HIDDEN COBRA, sugerencias para acciones de respuestas y recomendaciones de técnicas de mitigación.

Este reporte entrega análisis de nueve archivos maliciosos ejecutables. Siete de esos archivos son aplicaciones Proxy que enmascaran tráfico entre los malware y operadores remotos. Los proxies tienen la capacidadde generar falsas sesiones de protocolos de enlace TLS usando certificados públicos SSL válidos, disfrazando conexiones de red con actores remotos maliciosos. Un archivo contiene un certificado público SSL y la carga del archivo parece estar codificada con una contraseña o clave. Los restantes archivos no contienen certificados públicos SSL pero intenta realizar conexiones de salida y lanza cuatro archivos. Los cuatro archivos contienen direcciones de certificados de SSL.

Ver detalle del Informe