Alert (TA18-149A) HIDDEN COBRA – Joanap Backdoor Trojan and Brambul Server Message Block Worm

US-CERT แจ้งเตือนความเคลื่อนไหวของกลุ่มแฮกเกอร์จากเกาหลีเหนือ "Hidden Cobra" ล่าสุด พบ IOC ใหม่จากมัลแวร์เก่า

US-CERT ประกาศแจ้งเตือนล่าสุดรหัส TA18-149A หลังจากมีการตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ "Hidden Cobra" ซึ่งมีความเกี่ยวข้องกับมัลแวร์ที่เคยมีการแพร่กระจายมาแล้วคือ "Joanap" และ "Brambul" ด้วย
มัลแวร์ Joanap ถูกระบุว่าเป็นมัลแวร์ที่จะถูกติดตั้งเมื่อผู้โจมตียึดครองระบบได้แล้ว โดยมีจุดประสงค์เพื่อสร้างการเชื่อมต่อแบบ peer-to-peer กับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมซึ่งทำให้ผู้โจมตีสามารถสร้างกองทัพของบ็อตเน็ตจากเซิร์ฟเวอร์ที่เคยยึดครองแล้วได้ ส่วนมัลแวร์ "Brambul" นั้นเป็นมัลแวร์ที่แพร่กระจายผ่านทางโปรโตคอล SMB (TCP/139, TCP/445) ด้วยวิธีการเดารหัสผ่าน เพื่อให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกลได้

ไอ-ซีเคียวแนะนำให้ผู้ดูแลระบบทำการตรวจสอบตัวบ่งชี้ภัยคุกคามจากแหล่งที่มากับระบบภายในเพื่อค้นหาการมีอยู่ของมัลแวร์ดังกล่าว รวมถึงตั้งค่าระบบให้ปลอดภัยเพื่อป้องกันการโจมตที่จะเกิดขึ้นควบคู่กันไปด้วย

ที่มา : us-cert

Read more