ФБР США выявило факты, позволившие определить происхождение двух вредоносных программ для похищения данных с компьютеров. Как сообщается в уведомлении US CERT, вредоносное ПО Joanap и Brambul являются инструментами из арсенала северокорейского правительства.
Согласно US CERT, эксперты Министерства внутренней безопасности и ФБР «идентифицировали IP-адреса и другие индикаторы компрометации (IOC), связанные с двумя семействами вредоносного ПО, используемого правительством Северной Кореи».
Joanap представляет собой вредоносную программу, заражающую систему в два этапа. Joanap использует одноранговую (peer-to-peer) сеть для создания ботнетов с целью проведения дальнейших операций. С помощью вредоноса злоумышленники могут похищать данные с Windows-устройств, загружать и запускать полезную нагрузку, а также использовать скомпрометированный компьютер в качестве прокси.
Второе вредоносное ПО Brambul является SMB-червем. Он представляет собой файл динамически подключаемой библиотеки (DLL) или портативный исполняемый файл, загружаемый и устанавливаемый в скомпрометированных сетях вредоносными дропперами.
После выполнения Brambul устанавливает связь со скомпрометированной системой и IP-адресами в локальных подсетях. Далее вредонос пытается получить несанкционированный доступ по протоколу SMB (порты 139 и 445) с помощью брутфорс-атак, используя встроенный перечень известных паролей. Кроме того, Brambul генерирует случайные IP-адреса для дальнейших атак.
Установившись на системе, вредонос похищает с нее такую информацию, как IP-адреса, имя хоста и учетные данные, и отправляет злоумышленникам по вшитому электронному адресу. С их помощью кибершпионы HIDDEN COBRA (кодовое название для всех северокорейских операций в киберпространстве) могут получить несанкционированный доступ к сетям по протоколу SMB.

Источник: securitylab.ru