Il Dipartimento della Sicurezza Nazionale (DHS) e Federal Bureau of Investigation (FBI) hanno rilasciato un Allarme Tecnico congiunto (Technical Alert – TA) che identifica due famiglie di malware, chiamati Joanap e Brambul, utilizzati dal governo nordcoreano.
Il governo degli Stati Uniti si riferisce ad attività cibernetiche dannose da parte del governo nordcoreano come HIDDEN COBRA.
In concomitanza con la pubblicazione di questo TA, NCCIC ha rilasciato un Rapporto di analisi del malware (MAR) che fornisce analisi su campioni di malware Joanap e Brambul.
Malware Joanap
Il malware Joanap è un malware a due fasi utilizzato per stabilire comunicazioni peer-to-peer e per gestire le botnet progettate per abilitare altre operazioni. Il malware Joanap offre agli HIDDEN COBRA la possibilità di filtrare i dati, rilasciare ed eseguire payload secondari ed inizializzare le comunicazioni proxy su un dispositivo Windows compromesso.
Malware Brambul
Il malware Brambul è un worm SMB maligno di Windows a 32 bit che funziona come un file di libreria di collegamenti dinamici o come un file eseguibile portatile spesso installato sulle reti delle vittime da “dropper malware”. Una volta eseguito, il malware tenta di stabilire un contatto con i sistemi e gli indirizzi IP delle subnet locali delle vittime.
Se l’esito è positivo, l’applicazione tenta di ottenere un accesso non autorizzato tramite il protocollo SMB (porte 139 e 445) lanciando attacchi con password brute-force utilizzando un elenco di password incorporate. Inoltre, il malware genera indirizzi IP casuali per ulteriori attacchi.
NCCIC incoraggia utenti e amministratori a rivedere TA18-149A: HIDDEN COBRA – Joanap Backdoor Trojan and Brambul Server Message Block Worm and MAR-10135536-3 – RAT/Worm
TA18-149A: HIDDEN COBRA – Joanap Backdoor Trojan and Brambul Server Message Block Worm
Original release date: May 29, 2018
Source cooperation: https://www.us-cert.gov/HiddenCobra
