Cảnh báo mã độc APT liên quan tới nhóm hacker Triều Tiên

US-CERT mới đây đã đưa ra cảnh báo về hai phần mềm độc hại mới được xác định đang được sử dụng bởi nhóm tấn công hacker Triều Tiên được gọi là Hidden Cobra.

Hidden Cobra, hay còn gọi là Lazarus Group và Guardians of Peace, được cho là hỗ trợ bởi chính phủ Bắc Triều Tiên và được biết đến với các cuộc tấn công chống lại các tổ chức truyền thông, hàng không vũ trụ, tài chính và các lĩnh vực cơ sở hạ tầng quan trọng trên toàn thế giới.

Cảnh báo mã độc APT liên quan tới nhóm hacker Triều Tiên
Cảnh báo mã độc APT liên quan tới nhóm hacker Triều Tiên

Nhóm hacker Triều Tiên này thậm chí còn liên quan đến mối đe dọa ransomware WannaCry mà năm ngoái đã khiến các bệnh viện và các doanh nghiệp trên toàn thế giới phải tạm ngừng hoạt động. Hidden Cobra còn được cho là liên quan đến vụ tấn công Sony Pictures vào năm 2014 và SWIFT Banking vào năm 2016.

Hiện tại, Cục An ninh Nội địa (DHS) và FBI đã phát hiện hai phần mềm độc hại mới mà Hidden Cobra đã sử dụng từ năm 2009 để nhắm đến các công ty làm việc trong các lĩnh vực truyền thông, hàng không vũ trụ, tài chính và cá lĩnh vực quan trọng khác trên toàn thế giới.

Phần mềm độc hại Hidden Cobra đang sử dụng là — Remote Access Trojan (RAT), còn được biết đến là Joanap và Server Message Block (SMB) worm gọi là Brambul. Hãy cùng SecurityDaily tìm hiểu chi tiết về cả hai phần mềm độc hại này.

Joanap—Remote Access Trojan

Theo cảnh báo US-CERT, Joanap là một RAT (Remote Access Trojan – Mã độc cho phép điều khiển từ xa), Joanap là phần mềm độc hại có khả năng liên lạc peer-to-peer và quản lý các botnet khác được thiết kế riêng để cho phép các hoạt động độc hại khác.

Phần mềm độc hại này thường lây nhiễm vào các hệ thống dưới dạng tệp do phần mềm độc hại khác phát tán mà người dùng vô tình tải xuống khi họ truy cập vào các trang web bị xâm phạm bởi các hacker Hidden Cobra hoặc khi họ mở tệp đính kèm trong email độc hại.

Joanap được điều khiển bởi một máy chủ C&C cho phép hacker ăn cắp dữ liệu, cài đặt, chạy nhiều phần mềm độc hại hơn, khởi tạo proxy communication trên thiết bị Windows bị xâm phạmm, quản lý tập tin, quản lý quy trình, tạo và xóa thư mục, quản lý botnet và quản lý các node khác.

Chính phủ Hoa Kỳ đã phát hiện phần mềm độc hại trên 87 node mạng bị xâm phạm ở 17 quốc gia bao gồm Brazil, Trung Quốc, Tây Ban Nha, Đài Loan, Thụy Điển, Ấn Độ và Iran.

Brambul—SMB Worm

Brambul là một worm có khả năng tấn công các máy tính xung quanh giống như mã độc WannaCry bằng cách lạm dụng giao thức Server Message Block (SMB) để tự lây lan đến các hệ thống khác trong mạng.

Khi Brambul có được quyền truy cập trái phép vào hệ thống bị nhiễm, phần mềm độc hại sẽ gửi thông tin về các hệ thống của nạn nhân cho tin tặc Hidden Cobra bằng email. Thông tin bao gồm địa chỉ IP và tên máy chủ — cũng như tên người dùng và mật khẩu — về hệ thống của nạn nhân.

Các tin tặc sau đó có thể sử dụng thông tin bị đánh cắp này để truy cập từ xa vào hệ thống bị xâm phạm thông qua giao thức SMB. Tin tặc thậm chí có thể tạo và thực thi những mã độc (“suicide script”).

DHS và FBI cũng cung cấp danh sách các địa chỉ IP mà phần mềm độc hại Hidden Cobra giao tiếp và các IOC khác, để giúp bạn chặn chúng và cho phép các phòng thủ mạng giảm tiếp xúc với bất kỳ hoạt động mạng độc hại nào của chính phủ Bắc Triều Tiên.

DHS cũng khuyến khích người dùng và quản trị viên sử dụng các phương pháp để bảo vệ mạng máy tính của họ như: cập nhật phần mềm, chạy phần mềm chống vi-rút, tắt SMB, cấm các ứng dụng phần mềm và tệp không xác định.

Các phần mềm độc hại khác liên quan tới nhóm hacker Triều Tiên – Hidden Cobra trong quá khứ bao gồm Destover, Wild Positron hoặc Duuzer và Hangman với các khả năng phức tạp như DDoS botnet, keylogger, công cụ truy cập từ xa (RAT) và phần mềm độc hại.