Le FBI alerte deux nouveaux logiciels malveillants liés aux pirates Hidden Cobra

L’US-CERT a publié une alerte technique conjointe du DHS et du FBI, mettant en garde contre deux logiciels malveillants nouvellement identifiés utilisés par le groupe de piratage nord-coréen APT, connu sous le nom de Hidden Cobra.

Hidden Cobra, souvent connu sous le nom de Lazarus Group et Guardians of Peace, est censé être soutenu par le gouvernement nord-coréen et connu pour lancer des attaques contre les médias, l’aérospatiale, les secteurs financiers et les infrastructures critiques à travers le monde.

Le groupe était même associé à la menace de ransomware WannaCry qui a fermé l’année dernière des hôpitaux et des entreprises dans le monde entier. Il serait également lié au piratage de Sony Pictures en 2014 , ainsi qu’à l’ attaque de SWIFT Banking en 2016.

Maintenant, le Department of Homeland Security (DHS) et le FBI ont découvert deux nouveaux logiciels malveillants que Hidden Cobra utilise depuis au moins 2009 pour cibler les entreprises travaillant dans les secteurs des médias, de l’aérospatiale, des finances et des infrastructures critiques à travers le monde.

Le malware Hidden Cobra utilise are-Remote Access Trojan (RAT) connu sous le nom de Joanap et le ver SMB (Server Message Block) appelé Brambul . Entrons dans les détails des deux logiciels malveillants un par un.

Joanap-A cheval de Troie d’accès à distance
Selon l’alerte US-CERT, « RAT entièrement fonctionnel » Joanap est un logiciel malveillant en deux étapes qui établit des communications d’égal à égal et gère les botnets conçus pour permettre d’autres opérations malveillantes.

Le logiciel malveillant infecte généralement un système en tant que fichier livré par d’autres logiciels malveillants, que les utilisateurs téléchargent sans le savoir lorsqu’ils visitent des sites Web compromis par les acteurs de Hidden Cobra ou lorsqu’ils ouvrent des pièces jointes malveillantes.

Joanap reçoit des commandes d’un serveur de commande et de contrôle distant contrôlé par les acteurs Hidden Cobra, ce qui leur permet de voler des données, d’installer et d’exécuter plus de logiciels malveillants et d’initialiser les communications proxy sur un périphérique Windows compromis.

Les autres fonctionnalités de Joanap comprennent la gestion des fichiers, la gestion des processus, la création et la suppression de répertoires, la gestion des réseaux de zombies et la gestion des nœuds.

Lors de l’analyse de l’infrastructure Joanap, le gouvernement américain a découvert le malware sur 87 nœuds de réseau compromis dans 17 pays, dont le Brésil, la Chine, l’Espagne, Taiwan, la Suède, l’Inde et l’Iran.

Brambul est un ver d’authentification par force brute qui, tout comme le ransomware dévastateur WannaCry , abuse du protocole SMB (Server Message Block) pour se propager à d’autres systèmes.

Le ver SMB Windows 32 bits malveillant fonctionne comme un fichier de bibliothèque de liens dynamiques de service ou un fichier exécutable portable souvent abandonné et installé sur les réseaux des victimes par un logiciel malveillant dropper.

« Lorsqu’il est exécuté, le logiciel malveillant tente d’établir un contact avec les systèmes victimes et les adresses IP sur les sous-réseaux locaux des victimes », indique l’alerte.

En cas de succès, l’application tente d’obtenir un accès non autorisé via le protocole SMB (ports 139 et 445) en lançant des attaques par mot de passe à force brute à l’aide d’une liste de mots de passe intégrés. De plus, le logiciel malveillant génère des adresses IP aléatoires pour d’autres attaques. "

Une fois que Brambul a obtenu un accès non autorisé au système infecté, le logiciel malveillant communique des informations sur les systèmes de la victime aux pirates Hidden Cobra en utilisant le courrier électronique. Les informations incluent l’adresse IP et le nom d’hôte - ainsi que le nom d’utilisateur et le mot de passe - du système de chaque victime.

Les pirates peuvent alors utiliser ces informations volées pour accéder à distance au système compromis via le protocole SMB. Les acteurs peuvent même générer et exécuter ce que les analystes appellent un « script suicide ».

Le DHS et le FBI ont également fourni des listes téléchargeables d’adresses IP avec lesquelles le malware Hidden Cobra communique et d’autres IOC, pour vous aider à les bloquer et permettre aux défenses réseau de réduire l’exposition à toute activité cybernétique malveillante du gouvernement nord-coréen.

Le DHS a également recommandé aux utilisateurs et aux administrateurs d’utiliser les meilleures pratiques comme mesures préventives pour protéger leurs réseaux informatiques, comme maintenir leur logiciel et leur système à jour, exécuter un logiciel antivirus, désactiver SMB, interdire les exécutables inconnus et les applications logicielles.

L’année dernière, le DHS et le FBI ont publié une alerte décrivant les logiciels malveillants Hidden Cobra, appelés Delta Charlie, un outil DDoS qu’ils croyaient utiliser en Corée du Nord pour lancer des attaques par déni de service (DDoS) distribuées contre ses cibles.

D’autres logiciels malveillants liés à Hidden Cobra dans le passé incluent Destover, Wild Positron ou Duuzer, et Hangman avec des fonctionnalités sophistiquées, comme les botnets DDoS , les keyloggers, les outils d’accès à distance (RAT) et les logiciels malveillants .

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image