FBI warnt vor neuer Malware aus Nord-Korea

Das US-CERT hat eine gemeinsame technische Warnung des Deputy of Homeland Security (DHS) und des FBI veröffentlicht, die vor zwei neu identifizierten Malware-Samples warnt.


Anzeige

Diese werden der nordkoreanischen APT-Hackergruppe Hidden Cobra (auch als Lazarus bekannt) zugeschrieben. Die Hacker waren für die größten Ransomware-Ausbrüche (WannaCry) in 2017 verantwortlich. In dieser Meldung werden zwei Malware-Beispiele genannt, die kürzlich entdeckt wurden: 

  • ein Remote Access Tool (RAT), allgemein bekannt als Joanap; und
  • ein Server Message Block (SMB) Wurm, allgemein bekannt als Brambul.

Die Malware-Varianten werden ‘in the wild’ auf ahnungslose Nutzer angewandt, wobei Deutschland noch nicht im Fokus der Infektionen steht.

Joanap Malware

Die Joanap Malware ist ein voll funktionsfähiger Remote Access Trojaner (RAT), der mehrere Befehle empfangen kann, die von den HIDDEN COBRA-Akteuren aus der Ferne von einem Befehls- und Steuerungsserver verteilt werden können. Joanap infiziert normalerweise ein System über Dateien, die von anderer HIDDEN COBRA-Malware platziert bzw. von Benutzern unwissentlich beim surfen auf Websites heruntergeladen wird. Alternativ kommt die Malware als bösartige E-Mail-Anhang.

Bei der Analyse der von Joanap-Malware genutzten Infrastruktur identifizierte die US-Regierung 87 kompromittierte Netzwerkknoten. Die Länder, in denen die infizierten IP-Adressen registriert sind, sind folgende:

  • Argentina
  • Belgium
  • Brazil
  • Cambodia
  • China
  • Colombia
  • Egypt
  • India
  • Iran
  • Jordan
  • Pakistan
  • Saudi Arabia
  • Spain
  • Sri Lanka
  • Sweden
  • Taiwan
  • Tunisia

Joanap ist eine zweistufige Malware, die zur Herstellung von Peer-to-Peer-Kommunikation und zur Verwaltung von Botnets eingesetzt wird, die weitere Operationen ermöglichen. Joanap-Malware bietet den HIDDEN COBRA-Akteuren die Möglichkeit, Daten abzurufen, sekundäre Nutzlasten zu löschen und auszuführen und die Proxy-Kommunikation auf einem infizierten Windows-Gerät zu initialisieren. Weitere bemerkenswerte Funktionen sind:

  • Dateiverwaltung,
  • Prozessmanagement,
  • Anlegen und Löschen von Verzeichnissen und
  • Knotenverwaltung.

Die Analyse zeigt, dass die Malware Daten mit Rivest Cipher 4 verschlüsselt, um die Kommunikation mit HIDDEN COBRA-Akteuren zu schützen. Nach der Installation erstellt die Malware einen Log-Eintrag im Windows-Systemverzeichnis in einer Datei namens mssscardprv.ax. Die HIDDEN COBRA-Akteure verwenden diese Datei, um Informationen der Opfer wie die IP-Adresse des Hosts, den Hostnamen und die aktuelle Systemzeit zu erfassen und zu speichern.

Brambul (die Brombeere)

Die Brambul-Malware ist ein bösartiger Windows 32-Bit-SMB-Wurm, der als Service über eine Dynamic Link Library-Datei oder als portable ausführbare Datei fungiert. Diese wird oft von Dropper-Malware auf das Netzwerk der Opfer heruntergeladen und installiert. Bei der Ausführung versucht die Malware, Kontakt zu den Systemen des Opfers und weiteren IP-Adressen in den lokalen Subnetzen der Opfer herzustellen. Gelingt dies, versucht die Anwendung, sich über das SMB-Protokoll (Ports 139 und 445) unberechtigten Zugriff zu verschaffen. Dazu verwendet sie Brute-Force-Passwort-Angriffe über eine Liste von eingebetteten Passwörtern. Zusätzlich generiert die Malware zufällige IP-Adressen für weitere Angriffe.


Anzeige

Analysten vermuten, dass die Malware auf unsichere oder ungesicherte Benutzerkonten abzielt und sich über schlecht gesicherte Netzwerkfreigaben verbreitet. Sobald die Malware unbefugten Zugriff auf die Systeme des Opfers hat, übermittelt sie Informationen über die Systeme des Opfers über entsprechende E-Mail-Adressen an die HIDDEN COBRA-Akteure. Diese Informationen umfassen die IP-Adresse und den Hostnamen sowie den Benutzernamen und das Kennwort des jeweiligen Opfersystems. Die HIDDEN COBRA-Akteure können diese Informationen nutzen, um über das SMB-Protokoll auf ein kompromittiertes System zuzugreifen.

Die Analyse einer neueren Variante der Brambul-Malware ergab die folgenden integrierten Funktionen für den Remote-Betrieb:

  • Informationen über das System sammeln,
  • Akzeptieren von Kommandozeilenargumenten,
  • Erstellung und Ausführung eines Selbstmord-Skripts,
    das sich über das Netzwerk mit Hilfe von SMB verbreitet,
  • brute forcing SMB-Anmeldeinformationen und Generierung von Simple Mail Transport Protocol E-Mail-Nachrichten, die Informationen über das Zielsystem enthalten.
  • Erkennung und Reaktion

DHS und FBI empfehlen Netzwerkadministratoren, an Hand der bereitgestellten Informationen aus dieser IOCs-Datei (.csv) die Systeme zu überprüfen, um festzustellen, ob eine der bereitgestellten IP-Adressen in den zugewiesenen IP-Adressraum ihres Unternehmens fällt, und – falls vorhanden – die erforderlichen Maßnahmen zur Entfernung der Malware zu ergreifen.

Bei der Überprüfung der IP-Adressen in Netzwerk-Perimeter-Protokollen finden Unternehmen möglicherweise Instanzen dieser angegebenen IP-Adressen, die versuchen, eine Verbindung zu den Firmensystemen herzustellen. Bei der Überprüfung des Datenverkehrs von diesen IP-Adressen können Systembesitzer feststellen, ob sich der Datenverkehr auf böswillige Aktivitäten und der Datenverkehr auf legitime Aktivitäten bezieht.

Weitere Informationen sind im betreffenden Dokument oder bei Bleeping Computer zu finden.

Ähnliche Artikel:
WannaCry: Hinweise auf Lazarus-Gruppe
Check Point: Jedes 4. Unternehmen Fireball-/Wannacry-Opfer


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu FBI warnt vor neuer Malware aus Nord-Korea


  1. Anzeige
  2. sandy sagt:

    Besten Dank für den Hinweis und liebe Grüße aus dem schwül-warmen NRW. :-)

  3. Nina sagt:

    Jetzt wird langsam klar warum Trump sich mit Kim treffen will.
    Diese super hochgerüsteten Hightechsupersonderspezialhacker aus Nordkorea sind
    schier übermächtig, da kann man nur um Gnade bitten.

  4. Anzeige

  5. Ach die armen Nordkoreaner werden wieder als Sündenböcke für alles dahingestellt, ich wette mal das nicht mal die Hälfte des vom Deputy of Homeland Security (DHS) und des FBI gemeldete angriffe kommen tatsächlich von daher wo die meinen.

  6. wufuc_MaD sagt:

    wenn das mal alles so einfach wär

    nordkorea..

    das waren die shadow brokers die die exploits verkaufen wollten. die nsa kannte die lücken aber alle (und außerdem wird das ganze theater eh vom us militärhaushalt 1000 1000000 dollar finanziert) und dann wurde…

    htt ps://github.com/misterch0c/shadowbroker

    ja.. klasse oder?

    der patchday für einen monat (februar) ausgesetzt, zum 1. mal.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.