به گزارش مهر، مرکز مدیریت راهبردی افتای ریاست جمهوری از شناسایی دو بدافزار شامل تروجان درپشتی Jonap و کرم Brambul Server Message Block خبر داده که مرتبط با گروه APT کشور کره شمالی با نام HIDDEN COBRA (هیدن کبری) هستند.
تروجان Joanap یک ابزار دسترسی راه دور (RAT) است که فعالیتهای مخربی از قبیل استخراج داده، نصب بدافزارهای دیگر و ایجاد ارتباطات پراکسی بر روی سیستمهای ویندوزی را انجام میدهد. سایر قابلیتهای این بدافزار نیز مدیریت فایل، مدیریت فرایند، ایجاد و حذف فولدرها و مدیریت گره (node) عنوان شده است.
در همین حال کرم Server Message Block (SMB)، که با عنوان Brambul شناخته میشود، در صورت نفوذ تلاش میکند تا از طریق حملات brute-force به سیستم دسترسی غیر مجاز پیدا کند.
تحلیلها نشان میدهد که این بدافزار حساب های کاربری ناامن را مورد هدف قرار میدهد و از طریق شبکههای اشتراک با امنیت پایین گسترش پیدا میکند.
پس از اینکه بدافزار به سیستم قربانی دسترسی پیدا کرد، از طریق آدرسهای ایمیل مخرب با عوامل HIDDEN COBRA ارتباط برقرار میکند؛ این اطلاعات شامل آدرس IP و نام میزبان و همچنین نام کاربری و رمزعبور سیستم قربانی است.
عوامل COBRA HIDDEN میتوانند از این اطلاعات برای دسترسی از راه دور به یک سیستم آلوده از طریق پروتکل SMB استفاده کنند.
تحلیلها عملکردهایی از جمله استخراج اطلاعات سیستم، قبول کردن آرگومانهای command-line، تولید و اجرای کد خود تخریبی، پخش شدن در شبکه از طریق SMB ، استخراج اطلاعات ورود SMB و تولید پروتکل ارسال ایمیل شامل اطلاعات سیستم میزبان را در نسخههای جدیدتر Brambul نشان میدهد.
به گفته منابع ، عوامل HIDDEN COBRA از سال ۲۰۰۹ در حال استفاده از بدافزارهای Jonap و Brambul بودهاند و قربانیان زیادی را در حوزههای رسانه، مالی و زیرساختهای حیاتی مورد هدف قرار دادهاند.
این قربانیان در آمریکا و کشورهای مختلف جهان قرار دارند. بر اساس تحلیلهای انجام گرفته، کشورهایی که در آنها آدرس IP آلوده وجود دارد شامل آرژانتین، بلژیک، برزیل، کامبوج، چین، کلمبیا، مصر، هند، ایران، اردن، پاکستان، عربستان صعودی، اسپانیا، سریلانکا، سوئد، تایوان و تونس می شوند.
بدافزار معمولا سیستمها و سرورها را بدون اطلاع صاحبان و کاربران آنها آلوده میکنند. اگر بدافزار در سیستم پایدار بماند، میتواند از طریق شبکه قربانی به هر شبکه متصل دیگری منتقل شود؛
مدیران شبکهها برای شناسایی این بدافزارها و جلوگیری از آلوده شدن توسط آنها، میتوانند از IOCهای گزارش شده در هشدار امنیتی استفاده کنند.
یک نفوذ موفقیتآمیز به شبکه میتواند تاثیرات شدیدی داشته باشد، به ویژه اگر این نفوذ به صورت عمومی باشد. تاثیرات محتمل شامل موارد زیر است:
• از دست رفتن موقت یا دائمی اطلاعات حساس یا اختصاصی
• اختلال در عملیات روزمره
• زیانهای مالی برای بازگرداندن سیستمها و فایلها
• آسیب رسیدن به اعتبار سازمان
مرکز مدیریت راهبردی افتا به منظور جلوگیری از نفوذ بدافزار و محافظت در قبال حملات سایبری، موارد زیر را به کاربران و مدیران سیستمها توصیه کرد:
• سیستمعامل و نرمافزارها را به آخرین نسخهها بهروزرسانی کنید. اغلب حملات سیستمعامل و نرمافزارهای آسیبپذیر را مورد هدف قرار میدهند. بهروزرسانی به آخرین وصلهها راههای نفوذ برای مهاجم را کاهش میدهد.
• آنتیویروس را به روز نگه دارید و تمامی فایلهای دانلود شده از اینترنت را قبل از باز کردن اسکن کنید.
• دسترسی کاربران را برای نصب و اجرای برنامههای ناخواسته محدود کنید و برای همه سرویسها و سیستمها حداقل دسترسی را لحاظ کنید.
• پیوستهای مشکوک ایمیلها را اسکن و حذف کنید. اگر کاربری پیوست مشکوکی را باز کند و ماکرو را فعال کند، کد جاسازی شده دستورات بدافزار را روی سیستم اجرا میکند. شرکتها و سازمانها باید پیامهای ایمیلی که از منابع مشکوک ارسال میشوند و حاوی پیوست هستند را مسدود کنند.
• سرویس File and Printer Sharing مایکروسافت را غیرفعال کنید. در صورتی که این سرویس مورد نیاز است، از رمزعبور قوی استفاده شود.
• یک فایروال شخصی روی ایستگاههای کاری سازمان ایجاد کنید و آن را پیکربندی کنید تا درخواستهای اتصال ناخواسته را رد کند.