هم رسان: US-CERT یک هشدار فنی مشترک از DHS و FBI را منتشر کرده و درباره دو بدافزار جدید گروه هکری کره ای APT معروف به Hidden Cobra هشدار داده است.

به گزارش پایگاه خبری هم رسان و به نقل از هکرنیوز، گفته می شود که Hidden Cobra، که اغلب به عنوان گروه لازاروس و نگهبانان صلح شناخته می شود، توسط دولت کره شمالی حمایت می شود. این گروه به دلیل انجام حملاتی علیه سازمان های رسانه ای، هوا و فضا، بخش زیرساخت های حیاتی و مالی در سراسر جهان شناخته شده است.
این گروه حتی با تهدیدات باج افزار WannaCry نیز مرتبط هستند که سال گذشته بیمارستان ها و شرکت های تجاری را در سراسر جهان را مورد هدف قرار داده بود. همچنین گزارشات حاکی از این هستند که این گروه با حمله هکری 2014 Sony Pictures و حمله SWIFT Banking در سال 2016 نیز ارتباط دارد.
در حال حاضر وزارت امنیت داخلی و FBI دو بدافزار جدید را کشف کرده اند که Hidden Cobra حداقل از سال 2009 تا کنون استفاده کرده است تا شرکت های فعال در بخش های رسانه ای، فضایی، مالی و زیرساخت های حیاتی در سراسر جهان را مورد هدف قرار دهد.
بدافزارهایی که گروه Hidden Cobra استفاده می کند Remote Access Trojan معروف به Joanap و کرم Server Message Block معروف به Brambul هستند. در اینجا قصد داریم که اطلاعاتی مختصر درباره هر کدام از این بدافزارها در اختیار شما قرار دهیم.

بنا به هشدار US-CERT، تروجان دسترسی از راه دور کاملا کاربردی Joanap یک بدافزار دو مرحله ای است که ارتباطات نظیر به نظیر را ایجاد می کند و بات نت های طراحی شده برای فعالسازی دیگر عملیات های مخرب را مدیریت می کند.
این بدافزار معمولا با استفاده از یک فایل ارائه شده توسط دیگر بدافزار سیستم را آلوده می کند. کاربران ندانسته این فایل را در هنگام بازدید از یک سایت دستکاری شده توسط گروه Hidden Cobra و یا در زمان باز کردن پیوست های یک ایمیل مخرب دانلود می کنند.
Joanap دستورات را از یک سرور فرمان و کنترل از راه دور تحت نظارت عوامل Hidden Cobra دریافت می کند، که این سرور امکان سرقت اطلاعات، نصب و اجرای نرم افزارهای مخرب و راه اندازی مجدد ارتباطات پروکسی در دستگاه ویندوزی آسیب پذیر را فراهم می آورد.
سایر قابلیت های Joanap عبارتند از: مدیریت فایل، مدیریت فرایند، ایجاد و حذف دایرکتوری، مدیریت بوت نت و مدیریت گره.
دولت ایالات متحده طی تجزیه و تحلیل زیرساخت های Joanap، این بدافزار مخرب را در 87 گره شبکه ای آسیب دیده در 17 کشور از جمله برزیل، چین، اسپانیا، تایوان، سوئد، هند و ایران پیدا کرده است.
Brambul یک کرم احراز هویت جستجوی فراگیر است که مانند بدافزار ویرانگر WannaCry ، از پروتکل Server Message Block (SMB) را سوء استفاده می کند تا خود را در سیستم های دیگر گسترش دهد.
کرم مخرب ویندوز 32 بیتی SMB به عنوان یک فایل کتابخانه پیوند پویا یا یک فایل اجرایی قابل حمل عمل می کند که اغلب توسط بدافزار پیاده کننده یا همان dropper malware بر روی شبکه های قربانیان نصب می شود.
در این هشدار آمده است:” زمانی که این بدافزار اجرا می شود، تلاش می کند تا با سیستم های قربانیان و آی پی آدرس های موجود در زیرشبکه های محلی قربانی ارتباط برقرار کند.
در صورت موفقیت، این اپلیکیشن تلاش می کند تا با راه اندازی حملات رمز عبور جستجوی فراگیر با استفاده از فهرستی از رمز عبورهای جاسازی شده، از طریق پروتکل SMB (پورت های 139 و 445) دسترسی غیرمجاز به دست آورد. همچنین، این بدافزار آی پی آدرس های تصادفی برای حملات بیشتر ایجاد می کند.”
زمانی که Brambul دسترسی غیر مجاز به یک سیستم آلوده را به دست می آورد، از طریق ایمیل اطلاعاتی درباره سیستم های قربانیان به هکرهای Hidden Cobra ارسال می کند. اطلاعات شامل آدرس IP و نام میزبان و همچنین نام کاربری و رمز عبور هر سیستم قربانی است.
هکرها پس از استفاده از این اطلاعات سرقتی می توانند از طریق پروتکل SMB به سیستم آسیب دیده از راه دور دسترسی پیدا کنند. این گروه هکری حتی می تواند آن چه ر اکه تحلیل گران اسکریپت خودکشی نامیده اند را ایجاد و اجرا کنند.
DHS و FBI همچنین لیست های قابل دانلود از آدرس های IP که بدافزار Hidden Cobra با استفاده از این آی پی آدرس ها ارتباط برقرار می کنند و سایر IOC ها را ارائه می دهند تا به شما کمک کنند تا این آی پی آدرس ها را مسدود کرده و سیستم های حفاظت از شبکه را برای کاهش خطر رویارویی با هر گونه فعالیت سایبری مخرب توسط دولت کره شمالی فعال کنید.
DHS همچنین به کاربران و مدیران توصیه می کند تا برای حفاظت از شبکه های کامپیوتری خود، اقدامات پیشگیرانه ای از قبیل به روز نگه داشتن نرم افزار و سیستم ها، استفاده از آنتی ویروس ها، خاموش کردن SMB، ممنوعیت اجرای اجباری ناشناخته و برنامه های کاربردی در پیش بگیرند.
سال گذشته، DHS و FBI هشداری درباره بدافزار Hidden Cobra با نام Delta Charlieمنتشر کردند، که این بدافزار یک ابزار DDoS است و این سازمان ها معتقدند که کره شمالی برای راه اندازی حملات منع سرویس توزیع شده بر علیه اهداف خود از این بدافزار استفاده کرده است.
از دیگر بدافزارهای مرتبط با گروه Hidden Cobra می توان به Destover، Wild Positron یا Duuzer و Hangman با قابلیت های پیچیده ای مانند بات نت های DDoS ، کی لاگرها، ابزارهای دسترسی از راه دور و بد افزار پاک کننده اشاره کرد.