HIDDEN COBRA – Joanap Backdoor Trojan and Brambul Server Message Block Worm
HIDDEN COBRA – Joanap Backdoor Trojan and Brambul Server Message Block Worm

Avertissement pour les internautes en Tunisie: Le département américain de la sécurité intérieure et le FBI ont identifié deux types de logiciels malveillants (ou virus) utilisés par le gouvernement nord-coréen et la Tunisie est l’un des 17 pays où des adresses IP ont été détectées. En savoir plus sur ce malware, les pertes qu’il provoque et comment vous protéger contre ce malware.

Systèmes affectés
Systèmes de réseau

Aperçu
Cette alerte technique conjointe (AT) est le résultat d’efforts d’analyse entre le département de la sécurité intérieure (DHS) et le Federal Bureau of Investigation (FBI). En collaboration avec des partenaires gouvernementaux américains, le DHS et le FBI ont identifié des adresses IP (Internet Protocol) et d’autres indicateurs de compromis (IOC) associés à deux familles de logiciels malveillants utilisés par le gouvernement nord-coréen:

un outil d’accès à distance (RAT), communément appelé Joanap; et
un ver SMB (Server Message Block), communément appelé Brambul.
Le gouvernement américain fait référence à une cyberactivité malveillante du gouvernement nord-coréen sous le nom de HIDDEN COBRA. Pour plus d’informations sur l’activité HIDDEN COBRA, visitez https://www.us-cert.gov/hiddencobra .

Le FBI est très confiant que les acteurs de HIDDEN COBRA utilisent les adresses IP – listées dans les fichiers IOC de ce rapport – pour maintenir une présence sur les réseaux des victimes et permettre l’exploitation du réseau. Le DHS et le FBI distribuent ces adresses IP et d’autres IOC pour permettre la défense du réseau et réduire l’exposition à toute activité cybernétique malveillante du gouvernement nord-coréen.

Cette alerte comprend également des actions de réponse suggérées aux COI fournis, des techniques d’atténuation recommandées et des informations sur la manière de signaler les incidents. Si les utilisateurs ou les administrateurs détectent des activités associées à ces familles de logiciels malveillants, ils doivent immédiatement signaler l’incident au centre national de la cybersécurité et de l’intégration des communications (NCCIC) du DHS ou à la cyber surveillance du FBI (CyWatch). .

Voir les liens suivants pour une copie téléchargeable des COI:

COI (.csv)
COI (.stix)
Le NCCIC a analysé quatre échantillons de logiciels malveillants et produit un rapport d’analyse des programmes malveillants (MAR). MAR-10135536.3 – RAT / Worm examine les tactiques, techniques et procédures observées dans le logiciel malveillant. Visitez le site MAR-10135536.3 – CACHÉ RAT / VER pour le rapport et les COI associés.

La description
Selon les rapports de tiers de confiance, les acteurs de HIDDEN COBRA ont probablement utilisé les logiciels malveillants Joanap et Brambul depuis au moins 2009 pour cibler plusieurs victimes à travers le monde et aux États-Unis – notamment les médias, l’aérospatiale, les finances et les infrastructures critiques. Les utilisateurs et les administrateurs doivent examiner les informations relatives à Joanap et Brambul dans le Rapport sur les logiciels malveillants destructifs d’Operation Blockbuster [1]en conjonction avec les adresses IP répertoriées dans les fichiers .csv et .stix fournis dans cette alerte. Comme la plupart des familles de logiciels malveillants utilisés par les acteurs HIDDEN COBRA, Joanap, Brambul et d’autres outils malveillants personnalisés précédemment signalés, peuvent être trouvés sur des nœuds de réseau compromis. Chaque outil malveillant a des objectifs et des fonctionnalités différents.

Le malware de Joanap est un RAT entièrement fonctionnel qui peut recevoir plusieurs commandes, qui peuvent être émises à distance par des acteurs HIDDEN COBRA à partir d’un serveur de commande et de contrôle. Joanap infecte généralement un système en tant que fichier abandonné par d’autres logiciels malveillants HIDDEN COBRA, que les utilisateurs ont téléchargés sans le savoir lorsqu’ils visitent des sites compromis par des acteurs HIDDEN COBRA, ou lorsqu’ils ouvrent des pièces jointes malveillantes.

Lors de l’analyse de l’infrastructure utilisée par les logiciels malveillants Joanap, le gouvernement américain a identifié 87 nœuds de réseau compromis. Les pays dans lesquels les adresses IP infectées sont enregistrées sont les suivants:

  • Argentine
  • Belgique
  • Brésil
  • Cambodge
  • Chine
  • Colombie
  • Egypte
  • Inde
  • Iran
  • Jordan
  • Pakistan
  • Arabie Saoudite
  • Espagne
  • Sri Lanka
  • Suède
  • Taïwan
  • Tunisie

Les logiciels malveillants infectent souvent les serveurs et les systèmes à l’insu des utilisateurs et des propriétaires du système. Si le logiciel malveillant peut établir la persistance, il peut se déplacer latéralement à travers le réseau d’une victime et tous les réseaux connectés pour infecter des noeuds au-delà de ceux identifiés dans cette alerte.
Le malware Brambul est un ver d’authentification par force brute qui se propage via les partages SMB. Les PME permettent un accès partagé aux fichiers entre les utilisateurs d’un réseau. Les logiciels malveillants Brambul se propagent généralement en utilisant une liste d’informations de connexion codées en dur pour lancer une attaque par mot de passe brutale contre un protocole SMB pour accéder aux réseaux d’une victime.

Détails techniques

Joana

Joanap est un malware en deux étapes utilisé pour établir des communications d’égal à égal et pour gérer des botnets conçus pour activer d’autres opérations. Les logiciels malveillants Joanap fournissent aux acteurs HIDDEN COBRA la capacité d’exfiltrer des données, de supprimer et d’exécuter des charges utiles secondaires et d’initialiser les communications proxy sur un périphérique Windows compromis. D’autres fonctions notables comprennent

gestion de fichiers,
la gestion des processus,
création et suppression de répertoires, et
gestion de noeud.
L’analyse indique que le malware code les données en utilisant le cryptage Rivest Cipher 4 pour protéger sa communication avec les acteurs HIDDEN COBRA. Une fois installé, le logiciel malveillant crée une entrée de journal dans le répertoire système Windows dans un fichier nommé mssscardprv.ax. Les acteurs HIDDEN COBRA utilisent ce fichier pour capturer et stocker les informations des victimes telles que l’adresse IP de l’hôte, le nom d’hôte et l’heure système en cours.

Brambul

Bragul malware est un ver SMB Windows 32 bits malveillant qui fonctionne comme un fichier de bibliothèque de liens dynamiques de service ou un fichier exécutable portable souvent abandonné et installé sur les réseaux des victimes par des logiciels malveillants dropper. Lorsqu’il est exécuté, le logiciel malveillant tente d’établir un contact avec les systèmes victimes et les adresses IP sur les sous-réseaux locaux des victimes. En cas de succès, l’application tente d’obtenir un accès non autorisé via le protocole SMB (ports 139 et 445) en lançant des attaques par mot de passe à force brute à l’aide d’une liste de mots de passe incorporés. De plus, le logiciel malveillant génère des adresses IP aléatoires pour d’autres attaques.

Les analystes soupçonnent que les logiciels malveillants ciblent des comptes d’utilisateurs non sécurisés ou non sécurisés et se propagent via des partages réseau mal sécurisés. Une fois que le logiciel malveillant a établi un accès non autorisé sur les systèmes de la victime, il communique des informations sur les systèmes de la victime aux acteurs HIDDEN COBRA en utilisant des adresses e-mail malveillantes. Ces informations incluent l’adresse IP et le nom d’hôte – ainsi que le nom d’utilisateur et le mot de passe – du système de chaque victime. Les acteurs HIDDEN COBRA peuvent utiliser ces informations pour accéder à distance à un système compromis via le protocole SMB.

L’analyse d’une nouvelle variante du logiciel malveillant de Brambul a identifié les fonctions intégrées suivantes pour les opérations à distance:

informations sur le système de récolte,
accepter des arguments de ligne de commande,
générer et exécuter un script suicide,
se propager sur le réseau en utilisant SMB,
forcer brutalement les informations d’identification de connexion SMB, et
générer des messages électroniques de protocole de transport de courrier simple contenant des informations de système hôte cible.
Détection et réponse

Les fichiers IOC de cette alerte fournissent des COI HIDDEN COBRA liés à Joanap et Brambul. Le DHS et le FBI recommandent que les administrateurs réseau examinent les informations fournies, identifient si les adresses IP fournies tombent dans l’espace d’adressage IP alloué par leur organisation et, si elles sont détectées, prennent les mesures nécessaires pour supprimer le programme malveillant.

Lors de l’examen des journaux de périmètre du réseau pour les adresses IP, les organisations peuvent trouver des instances de ces adresses IP essayant de se connecter à leurs systèmes. Lors de l’examen du trafic provenant de ces adresses IP, les propriétaires de système peuvent trouver un certain trafic lié à une activité malveillante et un certain trafic lié à une activité légitime.

Impact
Une intrusion réussie dans un réseau peut avoir de graves répercussions, en particulier si le compromis devient public. Les impacts possibles comprennent

perte temporaire ou permanente d’informations sensibles ou exclusives,
perturbation des opérations régulières,
les pertes financières encourues pour restaurer les systèmes et les fichiers;
préjudice potentiel à la réputation d’une organisation.
Solution
Stratégies d’atténuation

Le DHS recommande aux utilisateurs et aux administrateurs d’utiliser les meilleures pratiques suivantes en tant que mesures préventives pour protéger leurs réseaux informatiques:

Gardez les systèmes d’exploitation et les logiciels à jour avec les derniers correctifs. La plupart des attaques ciblent des applications et des systèmes d’exploitation vulnérables. Corriger avec les dernières mises à jour réduit considérablement le nombre de points d’entrée exploitables disponibles pour un attaquant.
Maintenir un logiciel antivirus à jour et analyser tous les logiciels téléchargés sur Internet avant l’exécution.
Restreindre les capacités des utilisateurs (autorisations) pour installer et exécuter des applications logicielles indésirables, et appliquer le principe du moindre privilège à tous les systèmes et services. La restriction de ces privilèges peut empêcher l’exécution de programmes malveillants ou limiter leur capacité à se propager sur le réseau.
Rechercher et supprimer les pièces jointes suspectes. Si un utilisateur ouvre une pièce jointe malveillante et active des macros, le code intégré exécutera le programme malveillant sur la machine. Les entreprises et les organisations devraient envisager de bloquer les messages électroniques provenant de sources suspectes contenant des pièces jointes. Pour plus d’informations sur le traitement des pièces jointes en toute sécurité, reportez-vous à la section Utilisation de la fonction de mise en garde avec pièces jointes . Suivez les pratiques sécuritaires lorsque vous naviguez sur le Web. Voir les bonnes habitudes de sécurité et la sauvegarde de vos données pour plus de détails.
Désactivez le service de partage de fichiers et d’imprimantes de Microsoft, s’il n’est pas requis par l’organisation de l’utilisateur. Si ce service est requis, utilisez des mots de passe forts ou une authentification Active Directory. Pour plus d’informations sur la création de mots de passe forts, reportez-vous à la section Choix et protection des mots de passe.
Activez un pare-feu personnel sur les postes de travail de l’organisation et configurez-le pour refuser les demandes de connexion non sollicitées.
Réponse à un accès réseau non autorisé

Contactez le DHS ou votre bureau local du FBI immédiatement. Pour signaler une intrusion et demander des ressources pour la réponse aux incidents ou l’assistance technique, contactez le NCCIC du DHS ( NCCICCustomerService@hq.dhs.govou 888-282-0870), le FBI par l’intermédiaire d’un bureau local, ou la Division Cyber ​​du FBI ( CyWatch@fbi.gov ou 855-292-3937).

Les références
[1] Rapport sur les logiciels malveillants destructeurs de Novetta
Révisions
29 mai 2018: Version initiale

 

source : https://www.us-cert.gov/ncas/alerts/TA18-149A

LEAVE A REPLY

Please enter your comment!
Please enter your name here