HIDDEN COBRA- Joanap Backdoor Trojan e Brambul Server Message Block Worm,
due nuove minacce dalla Corea del Nord
E’ stato diramato ieri un Alert (TA18-149A) da parte dello “United States Computer Emergency Readiness Team (US-CERT)” in merito a due nuove minacce presenti in rete facenti parte della Cyber Attività del governo nordcoreano conosciuta come HIDDEN COBRA, un gruppo criminale chiamato anche Lazarus Group. Tale Cyber attività è emersa circa un anno fa e dall’epoca sta imperversando in rete attraverso varie minacce (ricordiamo FALLCHILL, BOTNET DDOS, BANKSHOT MALWARE, …) e da ieri ne conosciamo altre due.
L’attività congiunta del Dipartimento per la Sicurezza Nazionale (DHS) e dell’FBI ha permesso infatti di identificare, questa volta, due nuove famiglie di malware utilizzate dal governo nordcoreano, Joanap Backdoor Trojan e Brambul Server Message Block Worm riuscendo ad identificare gli indirizzi IP coinvolti, i vari segni di compromissione e fornendo i consigli per la mitigazione.
I malware Joanap e Brambul potrebbero essere stati messi in circolazione dai criminali di HIDDEN COBRA ben dal 2009 per colpire quante più vittime possibili, sia a livello globale sia negli Stati Uniti nei settori più critici (media, aerospaziale, finanziario e delle infrastrutture).
Contemporaneamente all’Alert dell’US-CERT è stato pubblicato anche il “Malware Analysis Report (AR18-149A)” che esamina le tecniche e le procedure osservate nei due malware.
JOANAP
Malware di accesso remoto (RAT) in grado di ricevere dal criminale, attraverso un server di comando e controllo (C&C) comandi multipli. Potrebbe esfiltrare dati, creare ed eseguire altri malware, gestire file e processi, cancellare file e directory ed eseguire molte altre operazioni sul computer della vittima. Tutti i dati che il criminale riesce a raccogliere vengono codificati in modo da nascondere tale attività malevola. Il malware, una volta installato nel sistema, crea un file nella directory di Windows chiamato “mssscardprv.ax.” nel quale memorizza le informazioni della vittima (IP, nome macchina, …). Questo malware, di solito, viene veicolato da altri malware che l’utente scarica inconsapevolmente quando visita siti malevoli o quando apre allegati di posta elettronica infetti.
BRAMBUL
Si tratta di un malware (worm) che, una volta entrato nel sistema, individua i sistemi presenti nella rete e attraverso le condivisioni SMB (porte 139 e 445) tenta di autenticarsi sulle risorse della rete della vittima utilizzando una tecnica a forza bruta e comunica le informazioni sul sistema ai criminali. Con le informazioni raccolte questi potranno accedere da remoto al sistema compromesso.
Sono stati individuati, al momento, 87 nodi di rete compromessi afferenti a questi paesi, che ovviamente possono aumentare e non è escluso il coinvolgimento anche dell’Italia:
Argentina, Belgio, Brasile, Cambogia, China, Colombia, Egitto, India, Iran, Giordania, Pakistan, Arabia Saudita, Spagna, Sri Lanka, Svezia, Taiwan, Tunisia.
Il DHS e l’FBI raccomandano gli amministratori di rete di visionare il file IOCs con l’elenco degli indirizzi IP compromessi, identificare se uno o più degli indirizzi IP forniti sono assegnati alla propria organizzazione e, in caso positivo, adottare le misure necessarie per rimuovere il malware. Inoltre, in caso negativo, quando analizzeranno i log delle protezioni perimetrali, potrebbero accorgersi che tali indirizzi IP tentano di connettersi al loro sistema. E’ consigliabile analizzare bene tale traffico in quanto potrebbe essercene anche di legittimo.
Inutile ricordare che una compromissione dei sistemi potrebbe portare:
- Perdita di informazioni relativi all’azienda (data breach)
- Interruzioni dei servizi
- Esborso monetario per la bonifica del sistema
- Danno alla reputazione
PREVENZIONE
- Aggiornare tutti i sistemi, gli antivirus, le protezioni perimetrali;
- Eseguire la scansione antivirus per ogni file scaricato da internet e arrivato nella casella email;
- Utilizzare criteri di autorizzazione idonei alla mansione di ogni utente e limitare la possibilità di installare ed eseguire applicazioni;
- Se non necessario disabilitare il servizio di Condivisione di file e stampanti di Windows, in caso non sia possibile farlo utilizzare password complesse e autenticazione Active Directory;
- Configurare opportunamente firewall perimetrale e firewall di ogni singola macchina;
- Formare il personale dipendente ad un uso consapevole della rete e della posa elettronica.
Gli amministratori di rete e gli utenti, qualora rilevino attività collegate con queste tipologie di malware, dovranno immediatamente segnalarlo al “DHS National Cybersecurity e Communications Integration Center (NCCIC)” ([email protected]) o all’ “FBI Cyber Watch (CyWatch)” ([email protected])