FBI waarschuwt voor "Noord-Koreaanse" SMB-worm

[Captain Kirk]

Opnieuw hebben de FBI en het Amerikaanse ministerie van Binnenlandse Veiligheid een waarschuwing afgegeven voor malware die door de Noord-Koreaanse overheid zou worden gebruikt. Het gaat om een SMB-worm genaamd Brambul en een remote access tool (RAT) met de naam Joanap.

De Amerikaanse overheidsinstellingen wijzen naar rapporten van "betrouwbare derde partijen" dat het Noord-Koreaanse regime Joanap en Brambul al sinds 2009 hebben ingezet tegen bedrijven in de financiële, luchtvaart- en mediasector, alsmede de vitale infrastructuur. Het zou daarbij om zowel bedrijven in de Verenigde Staten als daarbuiten gaan.

Via de Joanap-malware hebben aanvallers volledige controle over een systeem. De infectie vindt plaats door andere malware die al op het systeem actief is. Tijdens onderzoek naar de Joanap heeft de Amerikaanse overheid naar eigen zeggen 87 geïnfecteerde netwerknodes gevonden, waaronder in België, Spanje, Zweden, alsmede landen in Azië, het Midden-Oosten en Zuid-Amerika.

Brambul wordt omgeschreven als een "brute-force authentication worm" die via een lijst met gebruikersnamen en wachtwoorden en het SMB-protocol toegang tot systemen probeert te krijgen. De initiële infectie vindt net als met de Joanap-malware plaats via andere malware die al op het systeem actief is. Brambul wordt onder andere gebruikt om informatie over systemen te verzamelen.

Volgens de FBI kan de malware bij een succesvolle infectie voor verlies en diefstal van gevoelige bedrijfsgegevens zorgen, de bedrijfsvoering verstoren, financiële schade veroorzaken en de reputatie van de organisatie beschadigen. In de waarschuwing geeft de FBI "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat in deze waarschuwing voornamelijk om ip-adressen.

Ook worden tips gegeven om infectie te voorkomen, zoals het uitschakelen van Microsofts bestands- en printerdeling, het beperken van de rechten van gebruikers en het inschakelen van een personal firewall op werkstations die ongewenste verbindingen blokkeert. In november en december vorig jaar, alsmede in februari en maart van dit jaar, publiceerden de FBI en Homeland Security ook al rapporten over "Noord-Koreaanse malware".

 

 

bron: security.nl