ФБР выявило два инструмента северокорейских кибершпионов

image

Теги: кибервойна, вредоносное ПО, Северная Корея, КНДР

Joanap и Brambul используются с 2009 года в атаках на организации по всему миру.

ФБР США выявило факты, позволившие определить происхождение двух вредоносных программ для похищения данных с компьютеров. Как сообщается в уведомлении US CERT, вредоносное ПО Joanap и Brambul являются инструментами из арсенала северокорейского правительства.

Согласно US CERT, эксперты Министерства внутренней безопасности и ФБР «идентифицировали IP-адреса и другие индикаторы компрометации (IOC), связанные с двумя семействами вредоносного ПО, используемого правительством Северной Кореи».

Joanap представляет собой вредоносную программу, заражающую систему в два этапа. Joanap использует одноранговую (peer-to-peer) сеть для создания ботнетов с целью проведения дальнейших операций. С помощью вредоноса злоумышленники могут похищать данные с Windows-устройств, загружать и запускать полезную нагрузку, а также использовать скомпрометированный компьютер в качестве прокси.

Второе вредоносное ПО Brambul является SMB-червем. Он представляет собой файл динамически подключаемой библиотеки (DLL) или портативный исполняемый файл, загружаемый и устанавливаемый в скомпрометированных сетях вредоносными дропперами.

После выполнения Brambul устанавливает связь со скомпрометированной системой и IP-адресами в локальных подсетях. Далее вредонос пытается получить несанкционированный доступ по протоколу SMB (порты 139 и 445) с помощью брутфорс-атак, используя встроенный перечень известных паролей. Кроме того, Brambul генерирует случайные IP-адреса для дальнейших атак.

Установившись на системе, вредонос похищает с нее такую информацию, как IP-адреса, имя хоста и учетные данные, и отправляет злоумышленникам по вшитому электронному адресу. С их помощью кибершпионы HIDDEN COBRA (кодовое название для всех северокорейских операций в киберпространстве) могут получить несанкционированный доступ к сетям по протоколу SMB.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.