Hidden Cobra implementa nuevos malware en sus ataques
- Publicado: 26/01/2021
- Importancia: Media
- Recursos afectados
Torisma es un downloader implementado para crear conexión con el servidor C2, descargar y ejecutar módulos externos que permiten enviar información de equipos comprometidos y ejecutar archivos específicos del sistema. Durante esta campaña el grupo alojó los servidores de C2 en sitios web legítimos de EE. UU e Italia, lo que permitió eludir las medidas de seguridad de las organizaciones.
LCPDot es un downloader similar a Torisma. Se evidenció que, en algunas de sus muestras el código fue ofuscado por el empaquetador VMProtect, herramienta utilizada para reducir el tamaño de archivos y otorgarle protección al código malicioso. Según las investigaciones realizadas, se sospecha que LCPDot ha sido utilizado para el movimiento lateral en la red, posterior a la afectación por Torisma.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas