圖片來源: 

US-CERT

美國聯邦調查局(FBI)及國土安全部周三聯合對大眾發佈警告,表示北韓政府正以木馬與蠕蟲程式在網路上發動攻擊,用以駭入電腦、竊取密碼及重要資訊,台灣也被發現在感染範圍內。

這波攻擊行動與名為Joanap的遠端存取工具(remote access tool, RAT),及名為Brambul的SMB (Server Message Block, SMB) 蠕蟲程式有關,美國政府稱之為Hidden Cobra,相信策動者是北韓政府。FBI和國土安全部認為,Hidden Cobra背後的駭客組織至少從2009年開始就利兩隻惡意程式,包括Joanap及Brambul攻擊美國及其他國家的媒體、航太、金融業及其他重要基礎設施。

Joanap通常是經由網頁掛馬攻擊或受害者不慎開啟惡意郵件附檔散佈。它能實行兩階段攻擊。在植入電腦後,它會在受害電腦的Windows System Directory建立名為 mssscardprv.ax的檔案,得以蒐集受害者重要資訊,如主機IP位址、主機名稱、現有系統時間等,也能讓Hidden Cobra下載、執行第二階段的攻擊程式碼,並從受害Windows裝置建立與Hidden Cobra伺服器的加密通訊,以接受進一步攻擊指令。Joanap其他功能還包括檔案、程序與節點管理、建立與刪除目錄等。

針對Joanap的分析,發現有87個網路節點遭到入侵,受影響的IP位址涵括台灣、中國、西班牙、沙烏地阿拉伯、印度等17國。

Brambul則是32-bit的Windows SMB蠕蟲。研究人員懷疑它鎖定不安全的網路磁碟共享散佈,針對SMB協定暴力破解密碼以存取受害者系統,再以惡意電子郵件傳送受害電腦的IP、主機名稱、用戶名稱及密碼資訊給Hidden Cobra,後者則以此透過SMB協定遠端存取受害系統。Brambul較新變種甚至還有執行自殺程式碼及利用SMB在網路上繁殖擴散等功能。

為避免遭惡意程式竊取敏感資訊,除了基本的防毒、系統安全修補的更新、郵件掃瞄外,FBI及國土安全部並建議企業網管人員檢視所有存取系統的IP位址都是來自合法的IP位址空間,同時也建議關閉微軟檔案及印表機共享服務。


Advertisement

更多 iThome相關內容