lans.by

ФБР выявило два инструмента северокорейских кибершпионов

ФБР США выявило факты, позволившие определить происхождение двух вредоносных программ для похищения данных с компьютеров.

Как сообщается в уведомлении US CERT, вредоносное ПО Joanap и Brambul являются инструментами из арсенала северокорейского правительства.

Согласно US CERT, эксперты Министерства внутренней безопасности и ФБР «идентифицировали IP-адреса и другие индикаторы компрометации (IOC), связанные с двумя семействами вредоносного ПО, используемого правительством Северной Кореи». Joanap представляет собой вредоносную программу, заражающую систему в два этапа. Joanap использует одноранговую (peer-to-peer) сеть для создания ботнетов с целью проведения дальнейших операций.

С помощью вредоноса злоумышленники могут похищать данные с Windows-устройств, загружать и запускать полезную нагрузку, а также использовать скомпрометированный компьютер в качестве прокси. Второе вредоносное ПО Brambul является SMB-червем. Он представляет собой файл динамически подключаемой библиотеки (DLL) или портативный исполняемый файл, загружаемый и устанавливаемый в скомпрометированных сетях вредоносными дропперами.

После выполнения Brambul устанавливает связь со скомпрометированной системой и IP-адресами в локальных подсетях. Далее вредонос пытается получить несанкционированный доступ по протоколу SMB (порты 139 и 445) с помощью брутфорс-атак, используя встроенный перечень известных паролей.

Кроме того, Brambul генерирует случайные IP-адреса для дальнейших атак. Установившись на системе, вредонос похищает с нее такую информацию, как IP-адреса, имя хоста и учетные данные, и отправляет злоумышленникам по вшитому электронному адресу. С их помощью кибершпионы HIDDEN COBRA (кодовое название для всех северокорейских операций в киберпространстве) могут получить несанкционированный доступ к сетям по протоколу SMB. 

Источник

Leave a Reply

Your email address will not be published. Required fields are marked *