США предупреждают о северокорейском вредоносном ПО




Американское правительство идентифицировало более 85 сетей, скомпрометированных двумя вредоносными программными обеспечением, которые, как полагают, являются по происхождению северокорейскими.

Американская Команда компьютерной готовности к чрезвычайным ситуациям (US-Cert) выпустила техническое оповещение о двух вредоносных программных обеспечений, используемых правительством Северной Кореи.

В US-Cert сказали, что оповещение было результатом аналитических усилий между американским Министерством национальной безопасности (DHS) и Федеральным бюро расследований (FBI). Работая с американскими правительственными партнерами, DHS и FBI идентифицировали IP-адреса и другие индикаторы компромисса (IOCS), связанный с двумя вредоносными программными обеспечением, используемых правительством Северной Кореи.

Один из них - троян удаленного доступа (RAT), обычно известный, как Joanap, а другой - червь сервера сообщений (SMB), широко известный как Brambul.

“DHS и FBI распространяют эти IP-адреса и другие IOCS, чтобы обеспечить сетую защиту и уменьшить воздействие любой вредоносной кибер-деятельности правительства Северной Кореи”- было добавлено в оповещении.

Власти США полагают, что “вероятнее всего”, северокорейские агенты использовали вредоносное программное обеспечение Joanap и Brambul, по крайней мере, с 2009 года, предназначенные для распространения во всем мире и в США, в том числе средствах массовой информации, воздушно-космическом пространстве, в финансовой и решающих секторах инфраструктуры.

Вредоносное программное обеспечение Joanap - полностью функциональный RAT, который может принимать несколько команд, переданных операторами удаленно от сервера командования и управления. В оповещении говорится, что Joanap обычно заражает систему как файл, удаленный другими вредоносными программами, которые пользователи неосознанно загружают при посещении сайтов, скомпрометированных участниками Северной Кореи, или при открытии вредоносных вложений электронной почты.

Власти США полагают, что Joanap используется, для установления peer-to-peer связей и управления бот-сетями. Это позволяет северокорейским агентам фильтровать данные, откатывать и запускать вспомогательные полезные нагрузки и инициализировать proxy-сервер на взломанном устройстве Windows. Вредоносное программное обеспечение также кодирует данные с использованием шифрования Rivest Cipher 4 для защиты своего сообщения.

Вредоносное программное обеспечение Brambul - червь аутентификации, который распространяется через ресурсы SMB. SMB обеспечивают общий доступ к файлам между пользователями в сети. Вредоносное программное обеспечение Brambul обычно распространяется при помощи списка трудно закодированных учетных данных, предназначенных для атаки на систему SMB, чтобы получить доступ к сетям потерпевших.
Аналитики подозревают, что вредоносное программное обеспечение предназначается для небезопасных или необеспеченных учетных записей пользователей и распространения через слабо защищенные сетевые ресурсы. Как только вредоносное программное обеспечение устанавливает несанкционированный доступ к системам потерпевших, она передает информацию о системах северокорейским агентам, используя вредоносные адреса электронной почты.

Оповещение предупреждает, что успешное вторжение в сеть может иметь серьезные последствия, особенно если компромисс становится общедоступным. Возможные последствия включают временную или постоянную потерю уязвимой или конфиденциальной информации, нарушение регулярных операций, финансовые потери, связанные с восстановлением систем и файлов, а также потенциальный ущерб репутации организации.


Комментарии (0)

Имя:*
E-Mail:
Введите код: *
Кликните на изображение чтобы обновить код, если он неразборчив