Raport bezpieczeństwa Fortinet: Luka w MS Word, malware na macOS i koreańscy hakerzy Hidden Cobra

5 czerwca, 2018

Amerykańskie CERT z Departamentem Bezpieczeństwa Wewnętrznego i FBI opublikowało szczegółową analizę dwóch rodzin szkodliwego oprogramowania używanych przez grupę Hidden Cobra, którą przypisuje się północnokoreańskiemu rządowi. Analiza pokazuje, że wykorzystywane w atakach złośliwe oprogramowanie Joanap (narzędzie zdalnego dostępu; RAT) oraz Brambul (robak rozprzestrzeniający się przez protokół SMB) jest aktywne od co najmniej 2009 roku, a głównymi ofiarami są organizacje z sektora mediów publicznych, lotnictwa, finansów i z państwowej infrastruktury krytycznej.

upublicznionym IOC (ang. Indicator Of Compromise) przewija się MD5-tka 4731CBAEE7ACA37B596E38690160A749 złośliwego oprogramowania. Wirus najczęściej był dostarczany do komputerów za pomocą ataków drive-by download oraz poprzez złośliwe załączniki. Wykorzystywana luka CVE-2017-0199 na Microsoft Word, chociaż stara, bo upubliczniona w zeszył roku, dawała szansę na skuteczne przeprowadzenie ataku i możliwość zdalnego wykonania kodu. Duża liczba organizacji na pewno trochę opieszale podchodzi do aktualizacji oprogramowania i systemów, dlatego hakerzy z grupy Hidden Cobra nie mieli większego problemu, aby zaatakować w 17 krajach (Argentyna, Belgia, Brazylia, Kambodża, Chiny, Kolumbia, Egipt, Indie, Iran, Jordania, Pakistan, Arabia Saudyjska, Hiszpania, Sri Lanka, Szwecja, Tajwan, Tunezja).

Fortinet zwraca uwagę na jeszcze jedno zagrożenie, które nie ma nic wspólnego z grupą Hidden Cobra, ale ze względu na popularność warto o nim wspomnieć. A chodzi o koparkę kryptowaluty na macOS. Aplikacja ma 3.5MB i instaluje oraz uruchamia program „mshelper”. Program do zainstalowania musiał posiadać uprawnienia root, ponieważ uruchamiany jest przez demona „com.pplauncher.plist”, więc podejrzewa się, że złośliwe oprogramowanie może być instalowane za pomocą socjotechniki / fałszywego oprogramowania.

Jeśli na liście uruchomionych programów widzisz program „com.pplauncher.plist”, to możesz usunąć szkodnika z lokalizacji „/Library/LaunchDaemons/com.pplauncher.plist” i zrestartować system.

Nie tak dawno do sklepu Ubuntu Snap Store przemycono koparkę ByteCoin, dlatego co jakiś czas warto przejrzeć zużycie procesora, uruchomione usługi i programy oraz przeskanować system macOS pod kątem szkodliwego oprogramowania.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]