US-CERT یک هشدار فنی مشترک از DHS و FBI را منتشر کرده و هشدار داده است که دو مورد بدافزار جدید که توسط گروه هکر دولتی کره ای شناخته شده به نام کبرای پنهان مورد استفاده قرار گرفته است.
اعتقاد بر این است که کبرای پنهان، که اغلب به عنوان گروه لازاروس و نگهبانان صلح شناخته می شود، توسط دولت کره شمالی حمایت می شود و شناخته شده است، که حملاتی علیه سازمان های رسانه ای، بخش های هوا و فضا، بخش های تامین مالی و زیرساخت های حیاتی در سراسر جهان را هدف قرار می دهد.
این گروه حتی با تهدید باج افزار WannaCry همراه بود که سال گذشته بیمارستان ها و شرکت های تجاری را در سراسر جهان بسته بود. همچنین گزارش شده است که با هک Sony Pictures 2014 و همچنین حمله به سیستم بانکی SWIFT در سال ۲۰۱۶ نیز مرتبط است.
در حال حاضر وزارت امنیت داخلی و FBI دو قطعه جدید بدافزار را کشف کرده اند که کبرای پنهان حداقل از سال ۲۰۰۹ استفاده کرده است تا شرکت هایی را که در بخش های رسانه ای، فضایی، مالی و زیرساخت های حیاتی که در سراسر جهان قرار دارند، هدف قرار دهند.
بدافزار این گروه از دو بخش تشکیل شده است یک تروجان دسترسی از راه دور (RAT) به نام Joanap و یک کرم SMB به نام Brambul استفاده میکند.
Joanap—A Remote Access Trojan
براساس اعلام هشدار US-CERT تروجان Joanap یک بدافزار مخرب دو مرحله ای است که ارتباطات همتا به همتا را ایجاد میکند و بات نت هایی را طراحی می کند تا امکان ایجاد دیگر عملیات مخرب را فراهم کند.
این بدافزار به طور معمول یک سیستم را از طریق یک پرونده دریافت شده توسط سایر بدافزارها که کاربران آنها را از وبسایت هایی که توسط تیم کبرای پنهان دستکاری شده اند یا هنگام بازکردن پیوست های ایمیل های مخرب آلوده می کند.
Joanap دستورات را از یک سرور کنترل از راه دور دریافت می کند، به آنها توانایی سرقت اطلاعات، نصب و اجرای نرم افزارهای مخرب و راه اندازی ارتباطات پروکسی را در دستگاه ویندوز آسیب پذیر می دهد.
سایر ویژگی های Joanap عبارتند از: مدیریت فایل، مدیریت فرایند، ایجاد و حذف دایرکتوری، مدیریت بات نت و مدیریت گره.
در طول تجزیه و تحلیل زیرساخت های Joanap، دولت ایالات متحده این بدافزار را در ۸۷ گره ی شبکه آسیب دیده در ۱۷ کشور از جمله برزیل، چین، اسپانیا، تایوان، سوئد، هند و ایران پیدا کرده است.
Brambul—An SMB Worm
برمبول یک کرم احرازهویت از طریق brute force است که مانند باج افزار WannaCry، پروتکل SMB را سواستفاده می کند تا خود را به سیستم های دیگر گسترش دهد.
هنگامی که این کرم اجرا شد تلاش به ارتباط برقرار کردن با سیستم های قربانی و آدرس های IP در زیرشبکه محلی قربانی می کند. در صورت موفقیت آمیز بودن، این بدافزار با راه اندازی حملات brute force با استفاده از یک لیست از کلمات عبور تعبیه شده تلاش می کند تا از طریق پروتکل SMB (پورت های ۱۳۹ و ۴۴۵) دسترسی غیرمجاز به دست آورد. علاوه بر این، بد افزار آدرس های تصادفی IP را برای حملات بیشتر تولید می کنند.
هنگامی که Brambul دسترسی غیرمجاز به سیستم آلوده را به دست می آورد، بدافزار اطلاعاتی را درباره سیستم های قربانی به هکرهای کبرای مخفی با استفاده از ایمیل می فرستد. اطلاعات شامل آدرس IP و نام میزبان و همچنین نام کاربری و رمز عبور هر سیستم قربانی است. هکرها با استفاده از این اطلاعات سرقت شده می توانند از طریق پروتکل SMB از راه دور به سیستم آسیب دیده دسترسی پیدا کنند.
DHS و FBI همچنین لیستی از آدرس های IP را که بدافزار کبرای پنهان با آن ارتباط برقرار می کنند و سایر IOC ها ارائه می دهند، به شما کمک می کند تا آنها را مسدود کرده و سیستم های حفاظت از شبکه را برای کاهش خطر ابتلا به هر گونه فعالیت سایبری مخرب توسط دولت کره شمالی فراهم کنید.
سال گذشته DHS و FBI یک هشدار درباره بدافزار کبرای پنهان منتشر کردند. دلتا چارلی یک ابزار DDoS است که آنها معتقد بودند کره شمالی از حملات DDoS علیه اهداف خود استفاده می کند.
سایر بدافزارهای مرتبط با Hidden Cobra در گذشته عبارتند از Destover، Positron Wild یا Duuzer و Hangman با قابلیت های پیشرفته مانند بات های DDoS، تروجان های دسترسی از راه دور، key logger ها و بدافزار های پاک کننده هارد.
چاپ 
ارسال به دوست
