Hidden Cobra implementa nuevos malware en sus ataques

• Publicado: 26/01/2021
• Importancia: Media

---

Recursos afectados

Torisma es un downloader implementado para crear conexión con el servidor C2, descargar y ejecutar módulos externos que permiten enviar información de equipos comprometidos y ejecutar archivos específicos del sistema. Durante esta campaña el grupo alojó los servidores de C2 en sitios web legítimos de EE. UU e Italia, lo que permitió eludir las medidas de seguridad de las organizaciones.

 

LCPDot es un downloader similar a Torisma. Se evidenció que, en algunas de sus muestras el código fue ofuscado por el empaquetador VMProtect, herramienta utilizada para reducir el tamaño de archivos y otorgarle protección al código malicioso. Según las investigaciones realizadas, se sospecha que LCPDot ha sido utilizado para el movimiento lateral en la red, posterior a la afectación por Torisma.

 

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas

• Malware
• Hidden Cobra
• Grupo Lazarus
• Torisma
• LCPDot