أصدرت US-CERT تنبيهًا فنيًا مشتركًا من DHS ومكتب التحقيقات الفيدرالي FBI ، محذرين من وجود برنامجين جديدين تم التعرف عليهما حديثًا من قبل مجموعة الاختراق الهائلة الكورية الشمالية APT المعروفة باسم Hidden Cobra.
ويعتقد أن شركة هيدن كوبرا ، المعروفة في كثير من الأحيان باسم مجموعة لازاروس وحراس السلام ، مدعومة من قبل حكومة كوريا الشمالية والمعروفة بشن هجمات ضد المؤسسات الإعلامية والفضائية وقطاعات البنية التحتية المالية والحرجة في جميع أنحاء العالم.
حتى أن المجموعة ارتبطت بخطر WannaCry Ransomware الذي قام في العام الماضي بإغلاق المستشفيات والشركات في جميع أنحاء العالم. كما ورد أنه مرتبط أيضًا باختراق Sony Pictures 2014 ، بالإضافة إلى هجوم SWIFT Banking في عام 2016.
الآن ، كشفت وزارة الأمن الداخلي (DHS) ومكتب التحقيقات الفيدرالي (FBI) عن قطعتين جديدتين من البرمجيات الخبيثة التي تستخدمها شركة Hidden Cobra منذ عام 2009 على الأقل لاستهداف الشركات العاملة في قطاعات وسائل الإعلام والفضاء والمالية والبنية التحتية الحيوية في جميع أنحاء العالم.
تستخدم البرمجيات الخبيثة المخفية كوبرا - الوصول عن بعد طروادة (RAT) المعروفة باسم دودة Joanap و Server Message Block (SMB) تسمى Brambul . دعونا ندخل في تفاصيل كل من البرامج الضارة واحدا تلو الآخر.
جواناب - حصان طروادة
وفقًا لنشرة تنبيه US-CERT ، فإن "Joanap" يعمل بكامل طاقته وهو عبارة عن برنامج خبيث من مرحلتين ينشئ اتصالات من نظير إلى نظير ويدير برامج إقحام مصممة لتمكين العمليات الخبيثة الأخرى.
تصيب البرامج الضارة عادة النظام كملف يتم تسليمه بواسطة برامج ضارة أخرى ، والتي يقوم المستخدمون بتحميلها دون علمهم عند زيارتهم لمواقع الويب التي تم اختراقها من قبل الممثلين المخفيين لـ Cobra ، أو عند فتح مرفقات بريد إلكتروني ضارة.
يتلقى Joanap الأوامر من خادم تحكم عن بعد يتم التحكم فيه من قبل الممثلين المخفيين لـ Hidden Cobra ، مما يمنحهم القدرة على سرقة البيانات ، وتثبيت وتشغيل المزيد من البرامج الضارة ، وتهيئة اتصالات الوكيل على جهاز Windows المخترق.
تتضمن الوظائف الأخرى لـ Joanap إدارة الملفات ، وإدارة العمليات ، وإنشاء وحذف الأدلة ، وإدارة الروبوتات ، وإدارة العقدة.
أثناء تحليل البنية التحتية لجواناب ، وجدت حكومة الولايات المتحدة البرمجيات الخبيثة في 87 عقدة شبكة مخترقة في 17 دولة من بينها البرازيل والصين وإسبانيا وتايوان والسويد والهند وإيران.
Brambul - دودة SMB
Brambul هو دودة مصادقة القوة الغاشمة التي تشبه WannaCry ransomware المدمرة ، وتسيء لبروتوكول Server Message Block (SMB) من أجل نشر نفسه على أنظمة أخرى.
تعمل دودة Windows 32-bit SMB الضارة كملف مكتبة ارتباط ديناميكي للخدمة أو ملف قابل للتنفيذ محمول غالبًا ما يتم إسقاطه وتثبيته على شبكات الضحايا بواسطة البرامج الضارة بالقطارات.
"عندما يعدم ، يحاول البرنامج الخبيث إقامة اتصال مع أنظمة الضحايا وعناوين IP على الشبكات الفرعية المحلية للضحايا" ، مذكرات التنبيه.
"في حالة نجاح ذلك ، يحاول التطبيق الحصول على وصول غير مصرح به عبر بروتوكول SMB (المنفذين 139 و 445) عن طريق تشغيل هجمات كلمة المرور الغاشمة باستخدام قائمة كلمات المرور المضمنة. بالإضافة إلى ذلك ، تولد البرامج الضارة عناوين IP عشوائية لمزيد من الهجمات."
بمجرد وصول Brambul إلى الوصول غير المصرح به إلى النظام المصاب ، تقوم البرمجيات الخبيثة بإيصال معلومات حول أنظمة الضحية إلى مخترقي Hidden Cobra باستخدام البريد الإلكتروني. تتضمن المعلومات عنوان IP واسم المضيف - بالإضافة إلى اسم المستخدم وكلمة المرور - لنظام كل ضحية.
يمكن للقراصنة بعد ذلك استخدام هذه المعلومات المسروقة للوصول إلى النظام المخترق عن بعد عبر بروتوكول SMB. يمكن للجهات الفاعلة حتى توليد وتنفيذ ما يسميه المحللون "سيناريو الانتحار".
كما قدمت DHS و FBI قوائم قابلة للتنزيل لعناوين IP التي تتصل بها البرمجيات الخبيثة Cobra وغيرها من شركات IOC ، لمساعدتك على حجبها وتمكين دفاعات الشبكة للحد من التعرض لأي نشاط إلكتروني خبيث من قبل حكومة كوريا الشمالية.
كما أوصت DHS المستخدمين والمشرفين باستخدام أفضل الممارسات كتدابير وقائية لحماية شبكات الكمبيوتر الخاصة بهم ، مثل تحديث برامجهم وأنظمتهم ، وتشغيل برامج مكافحة الفيروسات ، وإيقاف SMB ، ومنع البرامج التنفيذية غير المعروفة وتطبيقات البرامج.
في العام الماضي ، نشرت وزارة الأمن الداخلي ومكتب التحقيقات الفيدرالي FBI تحذيراً يصف برنامج Hidden Cobra malware ، الذي يُطلق عليه اسم Delta Charlie - أداة DDoS التي اعتقدوا أن كوريا الشمالية تستخدمها في شن هجمات حجب الخدمة الموزعة (DDoS) الموزعة ضد أهدافها.
تتضمن البرامج الضارة الأخرى المرتبطة بـ Hidden Cobra في الماضي Destover و Wild Positron و Duuzer و Hangman ذات إمكانات متطورة ، مثل botnets DDoS و keyloggers وأدوات الوصول عن بعد (RATs) والبرامج الخبيثة في wiper .