تروجان Jonap و کرم Brambul Server Message Block

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q706

 

گروه HIDDEN COBRA وابسته به کره شمالی با تروجان در پشتی Jonap و کرم Brambul Server Message Block کشورهای متعددی را هدف گرفته‌اند.

دو بدافزار شامل تروجان در پشتی Jonap و کرم Brambul Server Message Block شناسایی شدند که مرتبط با گروه APT کشور کره شمالی با نام HIDDEN COBRA هستند.

یک ابزار دسترسی راه دور (RAT) که با عنوان Joanap شناخته می‌شود، فعالیت‌های مخربی از قبیل استخراج داده، نصب بدافزارهای دیگر و ایجاد ارتباطات پراکسی را بر روی سیستم‌های ویندوزی انجام می‌دهد.

مدیریت فایل، مدیریت فرایند، ایجاد و حذف فولدرها، مدیریت گره (node) ازجمله قابلیت‌های این بدافزار است.

بدافزار دیگر یک کرم Server Message Block (SMB) است که با عنوان Brambul شناخته می‌شود. این کرم در صورت نفوذ تلاش می‌کند تا از طریق حملات brute-force به سیستم دسترسی غیر مجاز پیدا کند. تحلیل‌ها نشان می‌دهد که این بدافزار حساب‌های کاربری ناامن را مورد هدف قرار می‌دهد و از طریق شبکه‌های اشتراک با امنیت پایین گسترش پیدا می‌کند. پس از اینکه بدافزار به سیستم قربانی دسترسی پیدا کرد از طریق آدرس‌های ایمیل مخرب با عوامل HIDDEN COBRA ارتباط برقرار می‌کند. این اطلاعات شامل آدرس IP و نام میزبان و همچنین نام کاربری و رمزعبور سیستم قربانی است. عوامل COBRA HIDDEN می‌توانند از این اطلاعات برای دسترسی از راه دور به یک سیستم آلوده از طریق پروتکل SMB استفاده کنند.

تحلیل‌ها عملکردهای زیر را در نسخه‌های جدیدتر Brambul نشان می‌دهد:

o استخراج اطلاعات سیستم
o قبول کردن آرگومان‌های command-line
o تولید و اجرای کد خودتخریبی
o پخش شدن در شبکه از طریق SMB
o استخراج اطلاعات ورود SMB
o تولید پروتکل ارسال ایمیل شامل اطلاعات سیستم میزبان

به گفته منابع، عوامل HIDDEN COBRA از سال ۲۰۰۹ در حال استفاده از بدافزارهای Jonap و Brambul بوده‌اند و قربانیان زیادی را در حوزه‌های رسانه، مالی و زیرساخت‌های حیاتی مورد هدف قرار داده‌اند. این قربانیان در آمریکا و کشورهای مختلف جهان قرار دارند. بر اساس تحلیل‌های انجام گرفته، کشورهایی که در آنها آدرس IP آلوده وجود دارد شامل آرژانتین، بلژیک، برزیل، کامبودیا، چین، کلمبیا، مصر، هند، ایران، اردن، پاکستان، عربستان صعودی، اسپانیا، سریلانکا، سوئد، تایوان و تونس است.

بدافزار معمولا سیستم‌ها و سرورها را بدون اطلاع صاحبان و کاربران آنها آلوده می‌کنند. اگر بدافزار در سیستم پایدار بماند، می‌تواند از طریق شبکه قربانی به هر شبکه متصل دیگری منتقل شود.

مدیران شبکه‌ها برای شناسایی این بدافزارها و جلوگیری از آلوده شدن توسط آنها می‌توانند از IOCهای گزارش شده در هشدار امنیتی استفاده کنند.

یک نفوذ موفقیت‌آمیز به شبکه می‌تواند تاثیرات شدیدی داشته‌باشد، به‌ویژه اگر این نفوذ به‌صورت عمومی باشد. شامل موارد زیر است:

از دست رفتن موقت یا دائمی اطلاعات حساس یا اختصاصی، اختلال در عملیات روزمره، زیان‌های مالی برای بازگرداندن سیستم‌ها و فایل‌ها، آسیب رسیدن به اعتبار سازمان از تاثیرات احتمالی این بدافزار هستند

به منظور جلوگیری از نفوذ بدافزار و محافظت در برابر حملات سایبری به کاربران و مدیران سیستم‌ها توصیه می‌‌شود که سیستم‌عامل و نرم‌افزارها را به آخرین نسخه‌ها به‌روزرسانی کنند. اغلب حملات سیستم‌عامل و نرم‌افزارهای آسیب‌پذیر را مورد هدف قرار می‌دهند. به‌روزرسانی به آخرین وصله‌ها راه‌های نفوذ برای مهاجم را کاهش می‌دهد؛ آنتی‌ویروس را به‌روز نگه دارند و تمامی فایل‌های دانلود شده از اینترنت را قبل از باز کردن اسکن کنند؛ دسترسی کاربران را برای نصب و اجرای برنامه‌های ناخواسته محدود کنند و برای همه سرویس‌ها و سیستم‌ها حداقل دسترسی را لحاظ کنند؛ پیوست‌های مشکوک ایمیل‌ها را اسکن و حذف کنند. اگر کاربری پیوست مشکوکی را باز و ماکرو را فعال کند کد جاسازی شده دستورات بدافزار را روی سیستم اجرا می‌کند؛ شرکت‌ها و سازمان‌ها باید پیام‌های ایمیلی ارسالی از منابع مشکوک و دارای پیوست را مسدود کنند؛ سرویس File and Printer Sharing مایکروسافت را غیرفعال کنند و در صورتی که این سرویس مورد نیاز است از رمزعبور قوی استفاده شود؛ همچنین پیشنهاد می‌شود یک فایروال شخصی بر روی ایستگاه‌های کاری سازمان، ایجاد و آن را پیکربندی کنند تا درخواست‌های اتصال ناخواسته را رد کند.

مرجع : مرکز مدیریت راهبردی افتا ریاست جمهوری