Министерство внутренней безопасности США совместно с ФБР предупредило о неизвестных ранее зловредах, которые позволяют удаленно контролировать IT-инфраструктуру, перехватывать данные и устанавливать стороннее ПО. По мнению американских ИБ-аналитиков, за атаками стоит северокорейская APT-группировка Hidden Cobra (также известна под именем Lazarus).

Информацию опубликовала Компьютерная команда экстренной готовности США (US-CERT) — подразделение по вопросам кибербезопасности. В отчете описаны два образца зловредного ПО — троян Joanap и червь Brambul. Ссылаясь на собственные доверенные источники, специалисты US-CERT утверждают, что преступники используют эти продукты для организации атак по всему миру с 2009 года.

В случае Joanap эксперты обнаружили 87 зараженных сетевых узлов в 17 странах Европы, Азии, Латинской Америки и Африки. Этот вредонос способен скрытно перемещаться внутри скомпрометированной инфраструктуры, отправлять на удаленный сервер информацию о составе ее участников и перехватывать данные пользовательских компьютеров. Но этим функции Joanap не ограничиваются, троян способен загружать и выполнять стороннее ПО, управлять файлами и процессами зараженной машины.

Второй зловред атакует сетевой протокол SMB (Server Message Block), подбирая пароль по встроенному в код списку. При успешном проникновении Brambul собирает и передает своим хозяевам IP-адреса, имена хостов, логины и пароли пользователей, которые можно использовать для последующих атак.

В обоих случаях за доставку вредоноса отвечает стороннее ПО, которое пользователи могут скачать на подконтрольных Hidden Cobra интернет-площадках или получить с электронным письмом.

Возможные негативные последствия от атак Joanap и Brambul включают потерю важной информации, сбои в работе IT-систем, а также репутационные издержки, если взлом станет достоянием общественности.

Авторы отчета составили список IP-адресов, с которыми общаются обнаруженные зловреды, и прочих индикаторов проникновения. Эта информация призвана помочь администраторам обнаружить подозрительную активность в своих сетях. Специалисты также рекомендуют проверить работу защитных систем, установить последние версии антивирусного ПО, отключить SMB и запретить пользователям запускать неизвестные приложения.

Ранее об успехах в борьбе с Hidden Cobra сообщила Группа быстрого реагирования на компьютерные инциденты Таиланда. Ее эксперты захватили командный сервер, который обеспечивал управление операциями злоумышленников.

Категории: Вредоносные программы, Главное, Кибероборона, Хакеры