O US-CERT divulgou um alerta técnico conjunto do DHS e do FBI, alertando sobre dois malwares recém-identificados sendo usados pelo prolífico grupo hacker norte-coreano APT conhecido como Hidden Cobra.
Acredita-se que o Cobra Oculto, conhecido como Grupo Lazarus e Guardiões da Paz, seja apoiado pelo governo norte-coreano e conhecido por lançar ataques contra organizações de mídia, setores aeroespaciais, financeiros e de infraestrutura crítica em todo o mundo.
O grupo chegou a ser associado à ameaça do ransomware WannaCry, que no ano passado fechou hospitais e empresas em todo o mundo. Está alegadamente ligado também ao hack de 2014 da Sony Pictures , bem como ao ataque do SWIFT Banking em 2016.
Agora, o Departamento de Segurança Interna (DHS) e o FBI descobriram duas novas malwares que o Hidden Cobra usa desde pelo menos 2009 para atingir empresas que trabalham nos setores de mídia, aeroespacial, financeiro e de infraestrutura crítica em todo o mundo.
O malware que o Hidden Cobra está usando é o RAT (Remote Access Trojan) conhecido como Joanap e o worm SMB (Server Message Block) chamado Brambul . Vamos entrar nos detalhes do malware, um por um.
Joanap - um cavalo de Troia de acesso remoto
De acordo com o alerta US-CERT, "RAT totalmente funcional", o Joanap é um malware de dois estágios que estabelece comunicações peer-to-peer e gerencia botnets projetados para permitir outras operações maliciosas.
O malware normalmente infecta um sistema como um arquivo entregue por outro malware, que os usuários inadvertidamente baixam quando visitam sites comprometidos pelos atores do Cobra Oculto ou quando abrem anexos de e-mails maliciosos.
O Joanap recebe comandos de um comando remoto e de um servidor de controle controlado pelos atores do Hidden Cobra, dando a eles a capacidade de roubar dados, instalar e executar mais malwares e inicializar as comunicações do proxy em um dispositivo Windows comprometido.
Outras funcionalidades do Joanap incluem gerenciamento de arquivos, gerenciamento de processos, criação e exclusão de diretórios, gerenciamento de botnets e gerenciamento de nós.
Durante a análise da infraestrutura Joanap, o governo dos EUA encontrou o malware em 87 nós de rede comprometidos em 17 países, incluindo Brasil, China, Espanha, Taiwan, Suécia, Índia e Irã.
Brambul - um verme de SMB
O Brambul é um worm de autenticação de força bruta que, como o devastador ransomware WannaCry , utiliza o protocolo SMB (Server Message Block) para se espalhar para outros sistemas.
O worm mal-intencionado SMB de 32 bits do Windows funciona como um arquivo de biblioteca de vínculo dinâmico de serviço ou um arquivo executável portátil, geralmente descartado e instalado nas redes das vítimas por meio de malware com conta-gotas.
"Quando executado, o malware tenta estabelecer contato com sistemas de vítimas e endereços IP nas sub-redes locais das vítimas", observa o alerta.
"Se bem sucedido, o aplicativo tenta obter acesso não autorizado através do protocolo SMB (portas 139 e 445), lançando ataques de senha de força bruta usando uma lista de senhas incorporadas. Além disso, o malware gera endereços IP aleatórios para novos ataques."Quando o Brambul obtém acesso não autorizado ao sistema infectado, o malware comunica informações sobre os sistemas da vítima aos hackers do Hidden Cobra usando e-mail. As informações incluem o endereço IP e o nome do host - assim como o nome de usuário e a senha - do sistema de cada vítima.
Os hackers podem usar essas informações roubadas para acessar remotamente o sistema comprometido por meio do protocolo SMB. Os atores podem até gerar e executar o que os analistas chamam de "script suicida".
O DHS e o FBI também forneceram listas para download de endereços IP com os quais o malware Hidden Cobra se comunica e outros IOCs, para ajudá-lo a bloqueá-los e permitir que as defesas da rede reduzam a exposição a qualquer atividade cibernética maliciosa do governo norte-coreano.
O DHS também recomendou que usuários e administradores usem as melhores práticas como medidas preventivas para proteger suas redes de computadores, como manter seu software e sistema atualizados, executar o software antivírus, desativar o SMB, proibir executáveis e aplicativos de software desconhecidos.
No ano passado, o DHS e o FBI publicaram um alerta descrevendo o malware Hidden Cobra, chamado Delta Charlie - uma ferramenta de DDoS que eles acreditavam que a Coréia do Norte usa para lançar ataques distribuídos de negação de serviço (DDoS) contra seus alvos.
Outros malwares vinculados ao Hidden Cobra no passado incluem Destover, Wild Positron ou Duuzer e Hangman com recursos sofisticados, como botnets DDoS , keyloggers, ferramentas de acesso remoto (RATs) e malware de limpeza .
FONTE:THEHACKERNEWS
Comentários
Postar um comentário