HIDDEN COBRA – Mã độc Joanap và Brambul

2087
06-06-2018
HIDDEN COBRA – Mã độc Joanap và Brambul

1. Hệ thống chịu ảnh hưởng

Hệ thống mạng là gì? Những thông tin chi tiết cũng như liên quan về hệ thống mạng sẽ được Bizfly Cloud cập nhật chi tiết ngay tại bài viết này nhé.  

2. Tổng quan

Cảnh báo kỹ thuật chung này (TA) là kết quả của những nỗ lực phân tích giữa Cục An ninh Nội địa (DHS) và Cục Điều tra Liên bang (FBI). Làm việc với các đối tác chính phủ Hoa Kỳ, DHS và FBI đã xác định địa chỉ Giao thức Internet (IP) và các chỉ báo khác về thỏa hiệp (IOCs) liên quan đến hai dòng phần mềm độc hại được chính phủ Triều Tiên sử dụng:

- Một công cụ truy cập từ xa (RAT), thường được gọi là Joanap;

- Một máy chủ Message Block (SMB), thường được gọi là Brambul.

Chính phủ Hoa Kỳ đề cập đến hoạt động mạng độc hại của chính phủ Triều Tiên dưới tên HIDDEN COBRA. Để biết thêm thông tin về hoạt động HIDDEN COBRA, hãy truy cập https://www.us-cert.gov/hiddencobra.

FBI tin tưởng cao rằng những người vận hành HIDDEN COBRA đang sử dụng các địa chỉ IP — được liệt kê trong các tệp IOC của báo cáo này — để duy trì sự hiện diện trên mạng của nạn nhân và cho phép khai thác mạng. DHS và FBI đang phân phối các địa chỉ IP này và các IOC khác để cho phép bảo vệ an ninh mạng và giảm sự tiếp xúc với bất kỳ hoạt động mạng độc hại nào của chính phủ Triều Tiên.

Cảnh báo này cũng bao gồm các hành động phản hồi được đề xuất cho các IOC cung cấp, các kỹ thuật giảm thiểu được đề xuất và thông tin về cách báo cáo các sự cố. Nếu người dùng hoặc quản trị viên phát hiện các hoạt động kết nối với các dòng phần mềm độc hại này, họ phải đánh dấu và báo cáo ngay lập tức với Trung tâm tích hợp an toàn và truyền thông quốc gia DHS (NCCIC) hoặc FBI Cyber Watch (CyWatch) và đặt ưu tiên cao nhất cho giảm thiểu nâng cao.

HIDDEN COBRA – Mã độc Joanap và Brambul  - Ảnh 1.

Xem các liên kết sau đây để có bản sao IOC có thể download:

IOCs (.csv)

IOCs (.stix)

NCCIC đã tiến hành phân tích trên bốn mẫu phần mềm độc hại và lập Báo cáo phân tích phần mềm độc hại (MAR). Truy cập MAR-10135536.3 - RAT/Worm để kiểm tra các chiến thuật, kỹ thuật và thủ tục được quan sát thấy trong phần mềm độc hại. Truy cập MAR-10135536.3 - HIDDEN COBRA RAT/Worm (https://www.us-cert.gov/ncas/analysis-reports/AR18-149A) để tìm hiểu thêm về báo cáo và các IOC liên quan.

3. Mô tả

Theo báo cáo của các bên thứ ba đáng tin cậy, những người vận hành HIDDEN COBRA có thể đã sử dụng cả phần mềm độc hại Joanap và Brambul kể từ năm 2009 để nhắm tới nhiều nạn nhân trên toàn cầu và ở Hoa Kỳ, bao gồm các lĩnh vực truyền thông, hàng không vũ trụ, tài chính và các cơ sở hệ thống quan trọng. 

Người dùng và quản trị viên nên xem lại thông tin liên quan đến Joanap và Brambul từ Báo cáo phần mềm độc hại phá hoại hoạt động [https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Destructive-Malware-Report.pdf] cùng với địa chỉ IP được liệt kê trong tệp .csv và .stix được cung cấp trong cảnh báo này. 

Giống như nhiều dòng phần mềm độc hại được sử dụng bởi những người vận hành HIDDEN COBRA, Joanap, Brambul và các công cụ phần mềm độc hại tùy chỉnh khác được báo cáo trước đây, có thể được tìm thấy trên các nút mạng bị xâm phạm. Mỗi công cụ phần mềm độc hại có các mục đích và chức năng khác nhau.

Phần mềm độc hại Joanap là một RAT đầy đủ chức năng có thể nhận nhiều lệnh, được cấp từ xa bởi những người vận hành HIDDEN COBRA từ một máy lệnh. Joanap thường lây nhiễm một hệ thống dưới dạng một tập tin bị loại bỏ bởi phần mềm độc hại HIDDEN COBRA khác, mà người dùng vô tình tải xuống hoặc khi họ truy cập các trang web bị xâm nhập bởi HIDDEN COBRA, hoặc khi họ mở tệp đính kèm email độc hại.

Trong suốt quá trình phân tích cơ sở hệ thống mà phần mềm độc hại Joanap sử dụng, Chính phủ Hoa Kỳ đã xác định 87 các nút mạng bị xâm nhập. Dưới đây là các quốc gia bị xâm nhập bởi các phần mềm độc hại đã đăng ký các địa chỉ IP:

Argentina - Bỉ - Brazil - Campuchia - Trung Quốc - Colombia - Ai Cập - Ấn Độ - Iran - Jordan - Pakistan - Ả Rập Xê Út - Tây Ban Nha - Sri Lanka - Thụy Điển - Đài Loan - Tunisia.

Phần mềm độc hại thường lây nhiễm các máy chủ và hệ thống mà người dùng và chủ sở hữu hệ thống không hề có kiến thức về nó. Nếu phần mềm độc hại có thể thiết lập sự tồn tại lâu bền của một đối tượng dữ liệu, phần mềm có thể di chuyển tới mạng của nạn nhân và bất kỳ mạng được kết nối nào để lây nhiễm các nút ngoài các nút mạng đã đề cập trong cảnh báo này.

Phần mềm độc hại Brambul là một worm brute-force lây lan qua SMB. SMB cho phép chia sẻ quyền truy cập vào tệp giữa những người dùng trên mạng. Phần mềm độc hại Brambul thường lây lan bằng cách sử dụng danh sách thông tin xác thực đăng nhập được mã hóa cứng để khởi chạy cuộc tấn công mật khẩu mạnh mẽ chống lại giao thức SMB để truy cập vào mạng của nạn nhân.

4. Chi tiết kỹ thuật

Joanap

Joanap là phần mềm độc hại hai giai đoạn được sử dụng để thiết lập liên lạc ngang hàng và quản lý các botnet được thiết kế để cho phép các sự vận hành khác. Phần mềm độc hại Joanap cung cấp cho người vận hành HIDDEN COBRA với khả năng exfiltrate dữ liệu, thả và chạy tải trọng thứ cấp, và khởi tạo lan truyền proxy trên một thiết bị Windows bị xâm nhập. Các chức năng đáng chú ý khác bao gồm:

- Quản lý tệp.

- Quản lý quy trình.

- Tạo và xóa các thư mục.

- Quản lý node.

Phân tích cho thấy phần mềm độc hại mã hóa dữ liệu bằng mã hóa Rivest Cipher 4 để bảo vệ thông tin liên lạc của nó với người vận hành HIDDEN COBRA. Sau khi cài đặt, phần mềm độc hại tạo một mục nhật ký trong Windows System Directory trong một tệp có tên mssscardprv.ax. Người vận hành HIDDEN COBRA sử dụng tệp này để nắm bắt và lưu trữ thông tin của nạn nhân dưới dạng địa chỉ IP máy chủ lưu trữ, tên máy chủ và thời gian hệ thống vận hành gần đây.

Brambul

Phần mềm độc hại Brambul là một worm 32 bit Windows độc hại có chức năng như một tệp thư viện liên kết động dịch vụ hoặc tệp thực thi di động thường bị bỏ và cài đặt vào mạng của nạn nhân bằng phần mềm độc hại nhỏ giọt. Khi được thực hiện, phần mềm độc hại này sẽ thiết lập sự kết nối với các hệ thống và địa chỉ IP trên mạng con của nạn nhân. Nếu thành công, ứng dụng sẽ cố gắng truy cập trái phép qua giao thức SMB (cổng 139 và 445) bằng cách hack password liên tục sử dụng 1 list password sẵn có. Ngoài ra, phần mềm độc hại tạo ra các địa chỉ IP ngẫu nhiên để tấn công thêm.

Các nhà phân tích nghi ngờ phần mềm độc hại nhắm mục tiêu các tài khoản người dùng không an toàn hoặc không bảo đảm và lây lan qua các hệ thống mạng kém bảo đảm. Khi phần mềm độc hại thiết lập quyền truy cập trái phép vào hệ thống của nạn nhân, nó sẽ truyền đạt thông tin về hệ thống của nạn nhân tới người vận hành HIDDEN COBRA sử dụng địa chỉ email độc hại. 

Thông tin này bao gồm địa chỉ IP và tên máy chủ — cũng như tên người dùng và mật khẩu — của mỗi hệ thống của nạn nhân. Người vận hành HIDDEN COBRA có thể sử dụng thông tin này để truy cập từ xa một hệ thống bị xâm nhập thông qua giao thức SMB.

Phân tích một biến thể mới hơn của phần mềm độc hại Brambul đã xác định các hàm dựng sẵn sau đây cho các hoạt động từ xa:

- Thu thập thông tin hệ thống

- Chấp nhận đối số dòng lệnh

- Tạo và thực thi một tập lệnh suicide

- Lan truyền qua mạng bằng SMB

- Brute buộc ủy nhiệm đăng nhập SMB

- Tạo thư email Giao thức truyền tải đơn giản chứa thông tin hệ thống lưu trữ đích.

Phát hiện và phản hồi

Các tệp IOC của cảnh báo này cung cấp HIDDEN COBRA IOC liên quan đến Joanap và Brambul. DHS và FBI khuyên các quản trị viên mạng nên xem xét thông tin được cung cấp, xác định xem có địa chỉ IP nào được cung cấp trong không gian địa chỉ IP được phân bổ của tổ chức hay không — và nếu tìm thấy — thực hiện các biện pháp cần thiết để xóa phần mềm độc hại.

Khi xem xét nhật ký chu vi mạng cho các địa chỉ IP, các tổ chức có thể tìm thấy các trường hợp của các địa chỉ IP này đang cố gắng kết nối với hệ thống của chúng. Khi xem xét lưu lượng truy cập từ các địa chỉ IP này, chủ sở hữu hệ thống có thể tìm thấy một số lưu lượng truy cập liên quan đến hoạt động độc hại và một số lưu lượng truy cập liên quan đến hoạt động hợp pháp.

5. Tác động

Việc xâm nhập mạng thành công có thể có tác động nghiêm trọng, đặc biệt nếu các thỏa hiệp trở nên công khai. Các tác động có thể xảy ra bao gồm:

- Mất các thông tin nhạy cảm hoặc độc quyền tạm thời hoặc vĩnh viễn,

- Gián đoạn sự vận hành thường xuyên,

- Tổn thất tài chính phát sinh để khôi phục hệ thống và tệp

- Gây hại cho danh tiếng của tổ chức.

6. Giải pháp

Chiến lược giảm thiểu

DHS khuyến cáo người dùng và quản trị viên sử dụng các phương pháp tốt nhất sau đây như các biện pháp phòng ngừa để bảo vệ mạng máy tính của chính mình:

- Giữ cho hệ điều hành và phần mềm luôn được cập nhật với các bản vá lỗi mới nhất. Hầu hết các cuộc tấn công nhắm vào các ứng dụng và hệ điều hành dễ bị tấn công. Bản vá với các bản cập nhật mới nhất sẽ làm giảm đáng kể số lượng điểm truy cập có thể khai thác sẵn có cho kẻ tấn công.

- Duy trì phần mềm chống virus cập nhật và quét tất cả phần mềm được tải xuống từ Internet trước khi thực thi.

- Hạn chế khả năng của người dùng (quyền) để cài đặt và chạy các ứng dụng phần mềm không mong muốn và áp dụng nguyên tắc đặc quyền tối thiểu cho tất cả các hệ thống và dịch vụ. Hạn chế các đặc quyền này có thể ngăn phần mềm độc hại chạy hoặc hạn chế khả năng lây lan qua mạng.

- Quét và xóa các tệp đính kèm email đáng ngờ. Nếu người dùng mở tệp đính kèm độc hại và bật macro, mã nhúng sẽ thực thi phần mềm độc hại trên máy. Các doanh nghiệp và tổ chức nên xem xét chặn thư email từ các nguồn đáng ngờ chứa tệp đính kèm. Thực hiện theo các phương pháp an toàn khi duyệt web.

- Tắt dịch vụ Chia sẻ tệp và máy in của Microsoft, nếu không được tổ chức của người dùng yêu cầu. Nếu dịch vụ này là bắt buộc, hãy sử dụng mật khẩu mạnh hoặc xác thực Active Directory. 

- Kích hoạt tường lửa cá nhân trên các máy trạm tổ chức và cấu hình để từ chối các yêu cầu kết nối không được yêu cầu.

Dịch từ: https://www.us-cert.gov/ncas/alerts/TA18-149A

Theo Bizfly Cloud chia sẻ

>> Có thể bạn quan tâm:  Malware (phần mềm độc hại) là gì?

SHARE