US-CERT ( Computer Emergency Team) yang bertanggung jawab untuk analias ancaman siber di Amerika telah merilis peringatan teknis bersama dari DHS dan FBI, mereka memperingatkan tentang dua malware baru yang diidentifikasi digunakan oleh kelompok peretas APT Korea Utara yang produktif yang dikenal sebagai Hidden Cobra.
Hidden Cobra sering dikenal sebagai Lazarus Group dan Guardians of Peace, mereka diyakini didukung oleh pemerintah Korea Utara dan dikenal untuk meluncurkan serangan terhadap organisasi media, kedirgantaraan, sektor infrastruktur keuangan dan kritis di seluruh dunia.
Kelompok itu bahkan dikaitkan dengan ancaman ransomware WannaCry yang tahun lalu menutup rumah sakit dan bisnis di seluruh dunia. Hal ini dilaporkan juga terkait dengan peretasan Sony Pictures 2014, serta serangan SWIFT Banking pada tahun 2016
Sekarang, Departemen Keamanan Dalam Negeri (DHS) dan FBI telah menemukan dua malware baru yang telah digunakan oleh Hidden Cobra sejak paling tidak tahun 2009 untuk menargetkan perusahaan yang bekerja di sektor media, aerospace, keuangan, dan infrastruktur penting di seluruh dunia.
Malware Hidden Cobra yang digunakan adalah — Remote Access Trojan (RAT) yang dikenal sebagai Joanap dan Server Message Block (SMB) worm yang disebut Brambul. Mari kita masuk ke detail dari kedua malware satu per satu.
Joanap — Trojan Akses Jarak Jauh
Menurut peringatan US-CERT, “RAT fungsional” Joanap adalah malware dua tahap yang membentuk komunikasi peer-to-peer dan mengelola botnet yang dirancang untuk memungkinkan operasi jahat lainnya.
Perangkat lunak perusak biasanya menginfeksi sistem sebagai file yang dikirim oleh malware lainnya, yang secara tidak sengaja pengguna unduh ketika mereka mengunjungi situs web yang disusupi oleh pelaku Hidden Cobra atau ketika mereka membuka lampiran email berbahaya.
Joanap menerima perintah dari perintah jarak jauh dan server kontrol yang dikontrol oleh Hidden Cobra , memberi mereka kemampuan untuk mencuri data, menginstal dan menjalankan lebih banyak malware, dan menginisialisasi komunikasi proxy pada perangkat Windows yang disusupi.
Fungsionalitas lain dari Joanap termasuk manajemen file, manajemen proses, pembuatan dan penghapusan direktori, manajemen botnet, dan manajemen node.
Selama analisis infrastruktur Joanap, pemerintah AS telah menemukan malware di 87 node jaringan yang dikompromikan di 17 negara termasuk Brasil, China, Spanyol, Taiwan, Swedia, India, dan Iran.
Brambul — Worm SMB
Brambul adalah worm otentikasi brute-force yang seperti ransomware WannaCry yang menghancurkan, menyalahgunakan protokol Server Message Block (SMB) untuk menyebarkan dirinya ke sistem lain.
Worm berbahaya tersebut berfungsi sebagai dinamis link file library layanan atau file executable portabel sering menjatuhkan dan diinstal ke jaringan korban melalui malware.
Setelah Brambul mendapatkan akses tidak sah ke sistem yang terinfeksi, malware tersebut mengkomunikasikan informasi tentang sistem korban ke hacker Hidden Cobra menggunakan email. Informasi termasuk alamat IP dan nama host — serta nama pengguna dan kata sandi — dari setiap sistem korban.
Para peretas kemudian dapat menggunakan informasi yang dicuri ini untuk mengakses sistem dari jarak jauh melalui protokol SMB. Para hacker bahkan dapat menghasilkan dan mengeksekusi apa yang disebut analis sebagai “naskah bunuh diri.”
DHS dan FBI juga telah menyediakan daftar download dari alamat IP yang membawa malware Hidden Cobra, untuk membantu Anda memblokir mereka dan memungkinkan pertahanan jaringan untuk mengurangi paparan aktivitas dunia maya berbahaya oleh pemerintah Korea Utara.
DHS juga merekomendasikan para pengguna dan administrator untuk menggunakan tindakan pencegahan dan melindungi jaringan komputer mereka, seperti menjaga perangkat lunak dan sistem mereka up to date, menjalankan perangkat lunak antivirus, mematikan SMB, melarang executable yang tidak diketahui dan aplikasi perangkat lunak.
Tahun lalu, DHS dan FBI menerbitkan sebuah peringatan yang menjelaskan Hidden Cobra malware, yang disebut Delta Charlie-alat DDoS yang mereka percaya Korea Utara menggunakan untuk meluncurkan didistribusikan denial-of-service (DDoS) serangan terhadap target.
malware lain yang terhubung ke Hidden Cobra di masa lalu termasuk Destover, Wild Positron atau Duuzer, dan Hangman dengan kemampuan canggih, seperti DDoS botnet, keyloggers, alat akses remote (RAT), dan wiper malware.
Referensi : hackernews.com
