RU EN

ФБР выдает предупреждение о двух новых вредоносных программах, связанных с хакерами Hidden Cobra

01.06.2018
ФБР выдает предупреждение о двух новых вредоносных программах, связанных с хакерами Hidden Cobra

US-CERT предупредил DHS и ФБР, о двух недавно выявленных вредоносных программах, используемых северокорейской группой, известной как Hidden Cobra.

Предполагается, что Hidden Cobra, которая известна как «Lazarus Group» и «Guardians of Peace», поддерживается правительством Северной Кореи и известна тем, запускает атаки против медиа-организаций, аэрокосмических, финансовых и критически важных секторов инфраструктур по всему миру.

Группа была связана с угрозой вымогательства WannaCry, которая в прошлом году заразила больницы и предприятия по всему миру. Сообщается, что группа также связана с взломом Sony Pictures в 2014 году , а также с атакой SWIFT Banking в 2016 году.

В настоящее время Департамент внутренней безопасности (DHS) и ФБР раскрыли две новые вредоносные программы, которые Hidden Cobra использует с 2009 года для целевых компаний, работающих в секторах средств массовой информации, аэрокосмической, финансовой и критической инфраструктуры по всему миру.

В вредоносной программе Hidden Cobra используется троян удаленного доступа (RAT), известный как червь Joanap и Server Message Block (SMB), называемый Brambul. Далее подробно рассмотрено это вредоносное ПО.

Троян удаленного доступа Joanap-A

Согласно сообщению US-CERT, «полнофункциональный Троян» Joanap - это двухступенчатая вредоносная программа, которая устанавливает одноранговые связи и управляет бот-сетями, предназначенными для других вредоносных операций.

Вредоносная программа обычно заражает систему, как файл, доставленный другими вредоносными программами, которые пользователи бессознательно загружают при посещении сайтов, скомпрометированных участниками Hidden Cobra, либо при открытии вредоносных вложений электронной почты.

Joanap получает команды от удаленного сервера управления, контролируемого участниками Hidden Cobra, предоставляя им возможность:

  • в краже данных;
  • установке и запуске других вредоносных программ;
  • инициализации прокси-сервера на взломанном устройстве Windows.

Другие функции Joanap включают в себя:

  • управление файлами;
  • управление процессами;
  • создание и удаление каталогов;
  • управление ботнетом;
  • управление узлами.

Во время анализа инфраструктуры Joanap правительство США обнаружило вредоносное ПО на 87 скомпрометированных сетевых узлах в 17 странах, включая Бразилию, Китай, Испанию, Тайвань, Швецию, Индию и Иран.

Brambul-An SMB Worm

Brambul - это червь, который  аутентифицируется с помощью brute-force, который, как и разрушительный WannaCry ransomware , использует SMB, чтобы распространиться на другие системы.

Червь функционирует как файл service dynamic link library или переносимый исполняемый файл, который устанавливается в сети жертв с помощью вредоносного ПО.

«При запуске вредоносное ПО пытается установить контакт с системами и IP-адресами в локальных подсетях жертв». 

«В случае успеха приложение пытается получить несанкционированный доступ через протокол SMB (порты 139 и 445), запустив brute-force. Кроме того, вредоносное ПО генерирует случайные IP-адреса для дальнейших атак».

Как только Brambul получает несанкционированный доступ к зараженной системе, вредоносное ПО передает информацию о системе жертвы, хакерам из Hidden Cobra, используя электронную почту. Информация включает в себя IP-адрес и имя хоста, а также имя пользователя и пароль системы каждой жертвы.

Затем хакеры могут использовать эту украденную информацию для удаленного доступа к взломанной системе через протокол SMB. Хакеры могут генерировать и исполнять «suicide script».

DHS и FBI предоставили загружаемые списки IP-адресов, с которыми связаны вредоносные программы Hidden Cobra и другие, чтобы помочь заблокировать их и уменьшить воздействие любой злонамеренной кибер-активности со стороны северокорейского правительства.

DHS также рекомендует администраторам использовать предупредительные меры для защиты своих компьютерных сетей, например, постоянно обновлять прикладное и системное программное обеспечение и систему, использовать антивирусное программное обеспечение, отключать SMB, запрещать запускать неизвестные исполняемые файлы и программные приложения.

В прошлом году DHS и ФБР опубликовали предупреждение, описывающее вредоносную программу Hidden Cobra под названием Delta Charlie - DDoS утилита , которая, по их мнению, использовала распределенные атаки типа «отказ в обслуживании» (DDoS).

Другие вредоносные программы, связанные с Hidden Cobra в прошлом, включают Destover, Wild Positron или Duuzer и Hangman со сложными возможностями, такими как бот-сети DDoS , кейлогеры, инструменты удаленного доступа (RAT) и вредоносное ПО для очистки.

Источник: thehackernews.com

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.