دو بدافزار مخرب جدید از گروه APT کشور کره شمالی شناسایی شده اند که فعالیت های مخربی از جمله استخراج اطلاعات، نصب بدافزارهای دیگر و ایجاد پراکسی روی سیستم های ویندوزی انجام می دهند.
این بدافزارهای مخرب شامل تروجان درپشتی Jonap و کرم Brambul Server Message Block بوده و مرتبط با گروه APT کشور کره شمالی با نام HIDDEN COBRA (هیدن کبری) هستند.
تروجان Joanap یک ابزار دسترسی راه دور (RAT) است که فعالیت های مخربی از قبیل استخراج داده، نصب بدافزارهای دیگر و ایجاد ارتباطات پراکسی بر روی سیستم های ویندوزی را انجام می دهد. سایر قابلیت های این بدافزار مخرب نیز مدیریت فایل، مدیریت فرایند، ایجاد و حذف فولدرها و مدیریت گره (node) عنوان شده است. در همین حال کرم Server Message Block (SMB)، که با عنوان Brambul شناخته می شود، در صورت نفوذ تلاش می کند تا از طریق حملات brute-force به سیستم دسترسی غیر مجاز پیدا کند.
تحلیل ها نشان می دهد که این بدافزار (malware) حساب های کاربری ناامن را مورد هدف قرار می دهد و از طریق شبکه های اشتراک با امنیت پایین گسترش پیدا می کند. پس از اینکه بدافزار به سیستم قربانی دسترسی پیدا کرد، از طریق آدرس های ایمیل مخرب با عوامل HIDDEN COBRA ارتباط برقرار می کند؛ این اطلاعات شامل آدرس IP و نام میزبان و همچنین نام کاربری و رمزعبور سیستم قربانی است. عوامل COBRA HIDDEN می توانند از این اطلاعات برای دسترسی از راه دور به یک سیستم آلوده از طریق پروتکل SMB استفاده کنند.
تحلیل ها عملکردهایی از جمله استخراج اطلاعات سیستم، قبول کردن آرگومان های command-line، تولید و اجرای کد خود تخریبی، پخش شدن در شبکه از طریق SMB، استخراج اطلاعات ورود SMB و تولید پروتکل ارسال ایمیل شامل اطلاعات سیستم میزبان را در نسخه های جدیدتر Brambul نشان می دهد.
به گفته منابع، عوامل HIDDEN COBRA از سال ۲۰۰۹ در حال استفاده از بدافزارهای Jonap و Brambul بوده اند و قربانیان زیادی را در حوزه های رسانه، مالی و زیرساخت های حیاتی مورد هدف قرار داده اند.
این قربانیان در آمریکا و کشورهای مختلف جهان قرار دارند. بر اساس تحلیل های انجام گرفته، کشورهایی که در آنها آدرس IP آلوده وجود دارد شامل آرژانتین، بلژیک، برزیل، کامبوج، چین، کلمبیا، مصر، هند، ایران، اردن، پاکستان، عربستان صعودی، اسپانیا، سریلانکا، سوئد، تایوان و تونس می شوند.
بدافزار معمولا سیستم ها و سرورها را بدون اطلاع صاحبان و کاربران آنها آلوده می کنند. اگر بدافزار در سیستم پایدار بماند، می تواند از طریق شبکه قربانی به هر شبکه متصل دیگری منتقل شود؛
مدیران شبکه ها برای شناسایی این بدافزارها و جلوگیری از آلوده شدن توسط آنها، می توانند از IOC های گزارش شده در هشدار امنیتی استفاده کنند.
یک نفوذ موفقیت آمیز به شبکه می تواند تاثیرات شدیدی داشته باشد، به ویژه اگر این نفوذ به صورت عمومی باشد.
تاثیرات احتمالی این بدافزار شامل موارد زیر است:
تحلیل ها عملکردهایی از جمله استخراج اطلاعات سیستم، قبول کردن آرگومان های command-line، تولید و اجرای کد خود تخریبی، پخش شدن در شبکه از طریق SMB، استخراج اطلاعات ورود SMB و تولید پروتکل ارسال ایمیل شامل اطلاعات سیستم میزبان را در نسخه های جدیدتر Brambul نشان می دهد.
به گفته منابع، عوامل HIDDEN COBRA از سال ۲۰۰۹ در حال استفاده از بدافزارهای Jonap و Brambul بوده اند و قربانیان زیادی را در حوزه های رسانه، مالی و زیرساخت های حیاتی مورد هدف قرار داده اند.
این قربانیان در آمریکا و کشورهای مختلف جهان قرار دارند. بر اساس تحلیل های انجام گرفته، کشورهایی که در آنها آدرس IP آلوده وجود دارد شامل آرژانتین، بلژیک، برزیل، کامبوج، چین، کلمبیا، مصر، هند، ایران، اردن، پاکستان، عربستان صعودی، اسپانیا، سریلانکا، سوئد، تایوان و تونس می شوند.
بدافزار معمولا سیستم ها و سرورها را بدون اطلاع صاحبان و کاربران آنها آلوده می کنند. اگر بدافزار در سیستم پایدار بماند، می تواند از طریق شبکه قربانی به هر شبکه متصل دیگری منتقل شود؛
مدیران شبکه ها برای شناسایی این بدافزارها و جلوگیری از آلوده شدن توسط آنها، می توانند از IOC های گزارش شده در هشدار امنیتی استفاده کنند.
یک نفوذ موفقیت آمیز به شبکه می تواند تاثیرات شدیدی داشته باشد، به ویژه اگر این نفوذ به صورت عمومی باشد.
تاثیرات احتمالی این بدافزار شامل موارد زیر است:
- از دست رفتن موقت یا دائمی اطلاعات حساس یا اختصاصی
- اختلال در عملیات روزمره
- زیان های مالی برای بازگرداندن سیستم ها و فایل ها
- آسیب رسیدن به اعتبار سازمان
- سیستم عامل و نرم افزارها را به آخرین نسخه ها به روزرسانی کنید. اغلب حملات سیستم عامل و نرم افزارهای آسیب پذیر را مورد هدف قرار می دهند. به روزرسانی به آخرین وصله ها راه های نفوذ برای مهاجم را کاهش می دهد.
- آنتی ویروس را به روز نگه دارید و تمامی فایل های دانلود شده از اینترنت را قبل از باز کردن اسکن کنید.
- دسترسی کاربران را برای نصب و اجرای برنامه های ناخواسته محدود کنید و برای همه سرویس ها و سیستم ها حداقل دسترسی را لحاظ کنید.
- پیوست های مشکوک ایمیل ها را اسکن و حذف کنید. اگر کاربری پیوست مشکوکی را باز کند و ماکرو را فعال کند، کد جاسازی شده دستورات بدافزار را روی سیستم اجرا می کند. شرکت ها و سازمان ها باید پیام های ایمیلی که از منابع مشکوک ارسال می شوند و حاوی پیوست هستند را مسدود کنند.
- سرویس File and Printer Sharing مایکروسافت را غیرفعال کنید. در صورتی که این سرویس مورد نیاز است، از رمزعبور قوی استفاده شود.
- یک فایروال شخصی روی ایستگاه های کاری سازمان ایجاد کنید و آن را پیکربندی کنید تا درخواست های اتصال ناخواسته را رد کند.