Amerykańskie CERT z Departamentem Bezpieczeństwa Wewnętrznego i FBI opublikowało szczegółową analizę dwóch rodzin szkodliwego oprogramowania używanych przez grupę Hidden Cobra, którą przypisuje się północnokoreańskiemu rządowi. Analiza pokazuje, że wykorzystywane w atakach złośliwe oprogramowanie Joanap (narzędzie zdalnego dostępu; RAT) oraz Brambul (robak rozprzestrzeniający się przez protokół SMB) jest aktywne od co najmniej 2009 roku, a głównymi ofiarami są organizacje z sektora mediów publicznych, lotnictwa, finansów i z państwowej infrastruktury krytycznej.

W upublicznionym IOC (ang. Indicator Of Compromise) przewija się MD5-tka 4731CBAEE7ACA37B596E38690160A749 złośliwego oprogramowania. Wirus najczęściej był dostarczany do komputerów za pomocą ataków drive-by download oraz poprzez złośliwe załączniki. Wykorzystywana luka CVE-2017-0199 na Microsoft Word, chociaż stara, bo upubliczniona w zeszył roku, dawała szansę na skuteczne przeprowadzenie ataku i możliwość zdalnego wykonania kodu. Duża liczba organizacji na pewno trochę opieszale podchodzi do aktualizacji oprogramowania i systemów, dlatego hakerzy z grupy Hidden Cobra nie mieli większego problemu, aby zaatakować w 17 krajach (Argentyna, Belgia, Brazylia, Kambodża, Chiny, Kolumbia, Egipt, Indie, Iran, Jordania, Pakistan, Arabia Saudyjska, Hiszpania, Sri Lanka, Szwecja, Tajwan, Tunezja).

Fortinet zwraca uwagę na jeszcze jedno zagrożenie, które nie ma nic wspólnego z grupą Hidden Cobra, ale ze względu na popularność warto o nim wspomnieć. A chodzi o koparkę kryptowaluty na macOS. Aplikacja ma 3.5MB i instaluje oraz uruchamia program „mshelper”. Program do zainstalowania musiał posiadać uprawnienia root, ponieważ uruchamiany jest przez demona „com.pplauncher.plist”, więc podejrzewa się, że złośliwe oprogramowanie może być instalowane za pomocą socjotechniki / fałszywego oprogramowania.

Jeśli na liście uruchomionych programów widzisz program „com.pplauncher.plist”, to możesz usunąć szkodnika z lokalizacji „/Library/LaunchDaemons/com.pplauncher.plist” i zrestartować system.

Nie tak dawno do sklepu Ubuntu Snap Store przemycono koparkę ByteCoin, dlatego co jakiś czas warto przejrzeć zużycie procesora, uruchomione usługi i programy oraz przeskanować system macOS pod kątem szkodliwego oprogramowania.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz