شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 28 رأی - میانگین امتیازات: 3
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
windows بدافزار گروه مخرب brambul proxy کشور apt جدید دو hidden انتشار کره cobra از joanap شمالی malware پراکسی

انتشار دو بدافزار مخرب جدید از گروه APT کشور کره شمالی
#1
دو بدافزار مخرب جدید از گروه APT کشور کره شمالی شناسایی شده اند که فعالیت‌ های مخربی از جمله استخراج اطلاعات، نصب بدافزارهای دیگر و ایجاد پراکسی روی سیستم‌ های ویندوزی انجام می‌ دهند.

[تصویر:  do.php?img=5084]

این بدافزارهای مخرب شامل تروجان درپشتی Jonap و کرم Brambul Server Message Block بوده و مرتبط با گروه APT کشور کره شمالی با نام HIDDEN COBRA (هیدن کبری) هستند.

تروجان Joanap یک ابزار دسترسی راه دور (RAT) است که فعالیت‌ های مخربی از قبیل استخراج داده، نصب بدافزارهای دیگر و ایجاد ارتباطات پراکسی بر روی سیستم‌ های ویندوزی را انجام می‌ دهد. سایر قابلیت‌ های این بدافزار مخرب نیز مدیریت فایل، مدیریت فرایند، ایجاد و حذف فولدرها و مدیریت گره (node) عنوان شده است. در همین حال کرم Server Message Block (SMB)، که با عنوان Brambul شناخته می‌ شود، در صورت نفوذ تلاش می‌ کند تا از طریق حملات brute-force به سیستم دسترسی غیر مجاز پیدا کند.

تحلیل‌ ها نشان می‌ دهد که این بدافزار (malware) حساب های کاربری ناامن را مورد هدف قرار می‌ دهد و از طریق شبکه‌ های اشتراک با امنیت پایین گسترش پیدا می‌ کند. پس از اینکه بدافزار به سیستم قربانی دسترسی پیدا کرد، از طریق آدرس‌ های ایمیل مخرب با عوامل HIDDEN COBRA ارتباط برقرار می‌ کند؛ این اطلاعات شامل آدرس IP و نام میزبان و همچنین نام کاربری و رمزعبور سیستم قربانی است. عوامل COBRA HIDDEN می‌ توانند از این اطلاعات برای دسترسی از راه دور به یک سیستم آلوده از طریق پروتکل SMB استفاده کنند.

تحلیل‌ ها عملکردهایی از جمله استخراج اطلاعات سیستم، قبول کردن آرگومان‌ های command-line، تولید و اجرای کد خود تخریبی، پخش شدن در شبکه از طریق SMB، استخراج اطلاعات ورود SMB و تولید پروتکل ارسال ایمیل شامل اطلاعات سیستم میزبان را در نسخه‌ های جدیدتر Brambul نشان می‌ دهد.
به گفته منابع، عوامل HIDDEN COBRA از سال ۲۰۰۹ در حال استفاده از بدافزارهای Jonap و Brambul بوده‌ اند و قربانیان زیادی را در حوزه‌ های رسانه، مالی و زیرساخت‌ های حیاتی مورد هدف قرار داده‌ اند.

این قربانیان در آمریکا و کشورهای مختلف جهان قرار دارند. بر اساس تحلیل‌ های انجام گرفته، کشورهایی که در آنها آدرس IP آلوده وجود دارد شامل آرژانتین، بلژیک، برزیل، کامبوج، چین، کلمبیا، مصر، هند، ایران، اردن، پاکستان، عربستان صعودی، اسپانیا، سریلانکا، سوئد، تایوان و تونس می شوند.

بدافزار معمولا سیستم‌ ها و سرورها را بدون اطلاع صاحبان و کاربران آنها آلوده می‌ کنند. اگر بدافزار در سیستم پایدار بماند، می‌ تواند از طریق شبکه قربانی به هر شبکه متصل دیگری منتقل شود؛
مدیران شبکه‌ ها برای شناسایی این بدافزارها و جلوگیری از آلوده شدن توسط آنها، می‌ توانند از IOC های گزارش شده در هشدار امنیتی استفاده کنند.
یک نفوذ موفقیت‌ آمیز به شبکه می‌ تواند تاثیرات شدیدی داشته باشد، به ویژه اگر این نفوذ به صورت عمومی باشد.

تاثیرات احتمالی این بدافزار شامل موارد زیر است:
  • از دست رفتن موقت یا دائمی اطلاعات حساس یا اختصاصی
  • اختلال در عملیات روزمره
  • زیان‌ های مالی برای بازگرداندن سیستم‌ ها و فایل‌ ها
  • آسیب رسیدن به اعتبار سازمان
به منظور جلوگیری از نفوذ بدافزار و محافظت در قبال حملات سایبری، موارد زیر را به کاربران و مدیران سیستم‌ ها توصیه می کنیم:
  • سیستم‌ عامل و نرم‌ افزارها را به آخرین نسخه‌ ها به‌ روزرسانی کنید. اغلب حملات سیستم‌ عامل و نرم‌ افزارهای آسیب‌ پذیر را مورد هدف قرار می‌ دهند. به‌ روزرسانی به آخرین وصله‌ ها راه‌ های نفوذ برای مهاجم را کاهش می‌ دهد.
  • آنتی‌ ویروس را به روز نگه دارید و تمامی فایل‌ های دانلود شده از اینترنت را قبل از باز کردن اسکن کنید.
  • دسترسی کاربران را برای نصب و اجرای برنامه‌ های ناخواسته محدود کنید و برای همه سرویس‌ ها و سیستم‌ ها حداقل دسترسی را لحاظ کنید.
  • پیوست‌ های مشکوک ایمیل‌ ها را اسکن و حذف کنید. اگر کاربری پیوست مشکوکی را باز کند و ماکرو را فعال کند، کد جاسازی شده دستورات بدافزار را روی سیستم اجرا می‌ کند. شرکت‌ ها و سازمان‌ ها باید پیام‌ های ایمیلی که از منابع مشکوک ارسال می‌ شوند و حاوی پیوست هستند را مسدود کنند.
  • سرویس File and Printer Sharing مایکروسافت را غیرفعال کنید. در صورتی که این سرویس مورد نیاز است، از رمزعبور قوی استفاده شود.
  • یک فایروال شخصی روی ایستگاه‌ های کاری سازمان ایجاد کنید و آن را پیکربندی کنید تا درخواست‌ های اتصال ناخواسته را رد کند.
پاسخ
 سپاس شده توسط farnaz ، saberi ، سحر


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  حمله‌ی سایبری، تولید خودرو در گروه رنو - نیسان را متوقف کرد elshan 3 1,337 ۹۹/۷/۹، ۰۴:۲۳ عصر
آخرین ارسال: n_pan
  انتشار بدافزار Prowli ، مراقب ارز دیجیتالی Monero باشید farnaz 0 699 ۹۷/۳/۲۳، ۰۳:۲۱ صبح
آخرین ارسال: farnaz
  بدافزار پیشرفته جاسوسی InvisiMole برای عبور از فایروال ویندوز و هک اطلاعات شبکه hoboot 0 846 ۹۷/۳/۲۲، ۰۴:۴۷ صبح
آخرین ارسال: hoboot
  هشدار فوری درباره بدافزار VPNFilter saberi 0 397 ۹۷/۳/۷، ۰۶:۳۸ عصر
آخرین ارسال: saberi
  حمله سایبری به ایمیل های سازمانی در سطح کشور saberi 0 292 ۹۷/۳/۳، ۰۵:۲۴ صبح
آخرین ارسال: saberi
  بدافزار ZooPark در کمین کاربران اندروید saberi 0 362 ۹۷/۲/۲۶، ۰۶:۳۲ صبح
آخرین ارسال: saberi
  انتشار باج‌افزارهایی از نوع زئوس (Zeus) در بین کاربران ایرانی تلگرام saberi 0 349 ۹۷/۲/۲۶، ۰۵:۵۲ صبح
آخرین ارسال: saberi
  بدافزار ZooPark از کاربران خاورمیانه تلگرام و واتس اپ از جمله ایرانی ها اخاذی می کند! soraya 0 390 ۹۷/۲/۱۷، ۰۸:۴۶ عصر
آخرین ارسال: soraya
  بدافزار جدیدی که تماس ها را مخفیانه ضبط می کند hoboot 1 456 ۹۷/۲/۲، ۰۱:۲۴ عصر
آخرین ارسال: KGasht
  گسترش بدافزار بانکی اندروید از طریق ربودن DNS مودم hoboot 0 553 ۹۷/۱/۳۱، ۰۷:۵۶ صبح
آخرین ارسال: hoboot

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان