۱۱:۲۹:۴۳ - دوشنبه ۱۴ خرداد ۱۳۹۷
شناسایی دو بدافزار مخرب برای سیستم های ویندوزی/ ایران در لیست حمله
دو بدافزار جدید از گروه APT کشور کره شمالی شناسایی شده اند که فعالیت‌های مخربی از جمله استخراج اطلاعات، نصب بدافزارهای دیگر و ایجاد پراکسی روی سیستم‌های ویندوزی انجام می‌دهند.   نسیم توسعه به نقل از مهر:   دو بدافزار جدید از گروه APT کشور کره شمالی شناسایی شده اند که فعالیت‌های مخربی از جمله استخراج […]

دو بدافزار جدید از گروه APT کشور کره شمالی شناسایی شده اند که فعالیت‌های مخربی از جمله استخراج اطلاعات، نصب بدافزارهای دیگر و ایجاد پراکسی روی سیستم‌های ویندوزی انجام می‌دهند.



هک و امنیت اطلاعات

 

نسیم توسعه به نقل از مهر:   دو بدافزار جدید از گروه APT کشور کره شمالی شناسایی شده اند که فعالیت‌های مخربی از جمله استخراج اطلاعات، نصب بدافزارهای دیگر و ایجاد پراکسی روی سیستم‌های ویندوزی انجام می‌دهند.

 مرکز مدیریت راهبردی افتای ریاست جمهوری از شناسایی دو بدافزار شامل تروجان درپشتی Jonap و کرم Brambul Server Message Block خبر داده که مرتبط با گروه APT کشور کره شمالی با نام HIDDEN COBRA (هیدن کبری) هستند.

تروجان Joanap یک ابزار دسترسی راه دور (RAT) است که فعالیت‌های مخربی از قبیل استخراج داده، نصب بدافزارهای دیگر و ایجاد ارتباطات پراکسی بر روی سیستم‌های ویندوزی را انجام می‌دهد. سایر قابلیت‌های این بدافزار نیز مدیریت فایل، مدیریت فرایند، ایجاد و حذف فولدرها و مدیریت گره (node) عنوان شده است.

در همین حال کرم Server Message Block (SMB)، که با عنوان Brambul شناخته می‌شود، در صورت نفوذ تلاش می‌کند تا از طریق حملات brute-force به سیستم دسترسی غیر مجاز پیدا کند.

تحلیل‌ها نشان می‌دهد که این بدافزار حساب های کاربری ناامن را مورد هدف قرار می‌دهد و از طریق شبکه‌های اشتراک با امنیت پایین گسترش پیدا می‌کند.

پس از اینکه بدافزار به سیستم قربانی دسترسی پیدا کرد، از طریق آدرس‌های ایمیل مخرب با عوامل HIDDEN COBRA ارتباط برقرار می‌کند؛ این اطلاعات شامل آدرس IP و نام میزبان و همچنین نام کاربری و رمزعبور سیستم قربانی است.

عوامل COBRA HIDDEN می‌توانند از این اطلاعات برای دسترسی از راه دور به یک سیستم آلوده از طریق پروتکل SMB استفاده کنند.

تحلیل‌ها عملکردهایی از جمله استخراج اطلاعات سیستم، قبول کردن آرگومان‌های command-line، تولید و اجرای کد خود تخریبی، پخش شدن در شبکه از طریق SMB ، استخراج اطلاعات ورود SMB و تولید پروتکل ارسال ایمیل شامل اطلاعات سیستم میزبان را در نسخه‌های جدیدتر Brambul نشان می‌دهد.

به گفته منابع ، عوامل HIDDEN COBRA از سال ۲۰۰۹ در حال استفاده از بدافزارهای Jonap و Brambul بوده‌اند و قربانیان زیادی را در حوزه‌های رسانه، مالی و زیرساخت‌های حیاتی مورد هدف قرار داده‌اند.

این قربانیان در آمریکا و کشورهای مختلف جهان قرار دارند. بر اساس تحلیل‌های انجام گرفته، کشورهایی که در آنها آدرس IP آلوده وجود دارد شامل آرژانتین، بلژیک، برزیل، کامبوج، چین، کلمبیا، مصر، هند، ایران، اردن، پاکستان، عربستان صعودی، اسپانیا، سریلانکا، سوئد، تایوان و تونس می شوند.

بدافزار معمولاً سیستم‌ها و سرورها را بدون اطلاع صاحبان و کاربران آنها آلوده می‌کنند. اگر بدافزار در سیستم پایدار بماند، می‌تواند از طریق شبکه قربانی به هر شبکه متصل دیگری منتقل شود؛
مدیران شبکه‌ها برای شناسایی این بدافزارها و جلوگیری از آلوده شدن توسط آنها، می‌توانند از IOCهای گزارش شده در هشدار امنیتی استفاده کنند.

یک نفوذ موفقیت‌آمیز به شبکه می‌تواند تاثیرات شدیدی داشته باشد، به ویژه اگر این نفوذ به صورت عمومی باشد. تاثیرات محتمل شامل موارد زیر است:

•  از دست رفتن موقت یا دائمی اطلاعات حساس یا اختصاصی

•  اختلال در عملیات روزمره

•  زیان‌های مالی برای بازگرداندن سیستم‌ها و فایل‌ها

•  آسیب رسیدن به اعتبار سازمان

مرکز مدیریت راهبردی افتا به منظور جلوگیری از نفوذ بدافزار و محافظت در قبال حملات سایبری، موارد زیر را به کاربران و مدیران سیستم‌ها توصیه کرد:

•  سیستم‌عامل و نرم‌افزارها را به آخرین نسخه‌ها به‌روزرسانی کنید. اغلب حملات سیستم‌عامل و نرم‌افزارهای آسیب‌پذیر را مورد هدف قرار می‌دهند. به‌روزرسانی به آخرین وصله‌ها راه‌های نفوذ برای مهاجم را کاهش می‌دهد.

•  آنتی‌ویروس را به روز نگه دارید و تمامی فایل‌های دانلود شده از اینترنت را قبل از باز کردن اسکن کنید.

•  دسترسی کاربران را برای نصب و اجرای برنامه‌های ناخواسته محدود کنید و برای همه سرویس‌ها و سیستم‌ها حداقل دسترسی را لحاظ کنید.

•  پیوست‌های مشکوک ایمیل‌ها را اسکن و حذف کنید. اگر کاربری پیوست مشکوکی را باز کند و ماکرو را فعال کند، کد جاسازی شده دستورات بدافزار را روی سیستم اجرا می‌کند. شرکت‌ها و سازمان‌ها باید پیام‌های ایمیلی که از منابع مشکوک ارسال می‌شوند و حاوی پیوست هستند را مسدود کنند.

•  سرویس File and Printer Sharing مایکروسافت را غیرفعال کنید. در صورتی که این سرویس مورد نیاز است، از رمزعبور قوی استفاده شود.

•  یک فایروال شخصی روی ایستگاه‌های کاری سازمان ایجاد کنید و آن را پیکربندی کنید تا درخواست‌های اتصال ناخواسته را رد کند.

منبع:
سرورپارس سرور پارس نسیم توسعه نسیم توسعه نسیم توسعه نسیم توسعه
  • RSS English News

  • RSS news

    • NFC Championship Game: Los Angeles Rams v New Orleans Saints – live!
      Teams meet at the Superdome for place in Super Bowl LIIIEmail Hunter with your thoughts or tweet him @HunterFelt 9.39pm GMT From Pranjal Tiwari:I’m still confused by “love will tear us apart” making an appearance today. Do you know if that’s a Saints anthem or something, or was it the broadcaster that used it? Very […]
    • Barcelona v Leganés: La Liga – live!
      Updates from the 7.45pm GMT kick-off at Camp NouLive scores – follow all Sunday’s goals as they go inEmail John or tweet @JohnBrewin_ with your thoughts 9.39pm GMT 90+5 mins: Barcelona want more. Rakitic, who has been key to their gaining control of this game, fires a rocket of a shot just wide of the […]
    • Harry Winks heads home at the last for Spurs to break Fulham hearts
      Who needs Harry Kane when you have got Harry Winks? The start of Tottenham’s period without their talismanic centre-forward and, indeed, Son Heung-min, too, looked set to end in frustration as Fernando Llorente – the player entrusted with the main striking role – endured a nightmarish afternoon.Llorente scored an own goal at one end and […]
    • Maurizio Sarri says slamming Chelsea’s players was not a risky move
      • Manager says they lacked ‘ferocity’ in their defeat at Arsenal• Adds he is ‘a straight talker’ not worried about bruising egosMaurizio Sarri does not believe it was a risky move to accuse his Chelsea players of being “extremely difficult to motivate” and lacking “ferocity” in their game after the tame defeat at Arsenal.Sarri struggled […]
    • Irish clubs have strength in depth but Saracens can reach European final | Robert Kitson
      European quarter-finals coincide with Brexit date but clubs are expected to fulfil their fixtures without any fussReaching the last eight of Europe may yet prove the easy bit for those involved in this season’s quarter-finals. With the United Kingdom currently due to leave the European Union on that same March weekend, there is potential for […]
    • Rachel Dunn guides England to victory but Australia claim Quad Series
      • England 52-49 Australia• Tracey Neville got tactics spot on to repel Australia challengeNo maiden Quad Series crown for England but, in the context of what is to come this year, another successful chapter in their captivating rivalry with Australia could be much more important.Needing to win by five to claim the Quad Series title […]
    • 'No solutions' to Irish backstop in May's Brexit call with cabinet
      Statement on Monday expected to focus on finding a remedy to issue that threatens to split Tory partyTheresa May is expected to reject calls to forge a cross-party consensus on Brexit when she lays out her plan B to parliament on Monday, choosing instead to back new diplomatic efforts in Brussels to renegotiate the Irish […]
    • Zimbabwe warns brutal crackdown is 'foretaste of things to come'
      Presidential spokesman’s words add to concerns over harsh response to protestsA brutal crackdown in Zimbabwe that has followed protests against fuel price rises is “just a foretaste of things to come”, the president’s spokesman has said.The harsh words will increase concerns about the deteriorating human rights situation in the poor southern African country, coming after […]
    • Revealed: Spice Girls T-shirts made in factory paying staff 35p an hour
      Workers producing tops sold to raise money for Comic Relief receive far below a living wage‘Inhuman conditions’: life in factory making Spice Girls T-shirtsSpice Girls T-shirts sold to raise money for Comic Relief’s “gender justice” campaign were made at a factory in Bangladesh where women earn the equivalent of 35p an hour during shifts in […]
    • Trump may have spoken to Cohen before false testimony to Congress – Giuliani
      President’s attorney, Rudy Giuliani, said it would have been ‘perfectly normal’ for Trump to discuss testimony with CohenDonald Trump may have talked to Michael Cohen in advance about Cohen’s false testimony to Congress on their pursuit of a property deal in Russia, the president’s attorney said on Sunday. Related: Mueller's disavowal of bombshell Cohen report […]
  • اطلاعات