بدافزار نفوذگران Hidden Cobra، در ایران

پلیس FBI و وزارت امنیت داخله آمریکا با انتشار اطلاعیه‌ای نسبت به انتشار دو بدافزار Joanap و Brambul هشدار داده‌اند.

به گزارش شرکت مهندسی شبکه گستر، این نهادهای آمریکایی، مهاجمان پشت پرده این حملات را گروه Hidden Cobra که ارتباط آن با کره شمالی در گزارش‌های قبلی تقریباً به اثبات رسیده معرفی کرده‌اند. این گروه با نام Lazarus نیز شناخته می‌شود.

بدافزار Joanap، برنامه‌ای دو مرحله‌ای است که اجرای فعالیت‌هایی نظیر استخراج داده‌ها، دریافت و اجرای کدهای مخرب دیگر و برقراری ارتباط از طریق پراکسی را برای مهاجمان فراهم می‌کند.

روش انتشار Joanap، سایت‌های تسخیر شده توسط گروه Hidden Cobra و ایمیل‌های با پیوست فایل مخرب عنوان شده است.

بدافزار Brambul نیز یک کرم مبتنی بر پودمان Server Message Block – به اختصار SMB – است که در قالب یک فایل DLL یا فایلی اجرایی بر روی دستگاه قربانی دریافت و اجرا می‌شود.

با اجرای Brambul، بدافزار، سایر دستگا‌‌ها و نشانی‌های IP هم دامنه با دستگاه قربانی را در سطح شبکه شناسایی می‌کند. در ادامه، از طریق پودمان SMB، درگاه‌های 139 و 445 و فهرستی از رمزهای عبوری که در کد آن تزریق شده تلاش می‌کند تا به آنها متصل شود.

بدافزار Brambul اطلاعاتی نظیر نشانی IP، نام دستگاه، نام کاربری و رمز عبور را از روی هر دستگاه آلوده شده جمع‌آوری کرده و آنها را از طریق ایمیل‌های زیر به دست مهاجمان می‌رساند:

• misswang8107@gmail.com
• redhat@gmail.com

لازم به ذکر است که در اطلاعیه وزارت امنیت داخله آمریکا نام ایران نیز در فهرست کشورهایی که بدافزار Joanap به آنها رخنه کرده به چشم می‌خورد.

نمونه‌های اشاره شده در این خبر با نام‌های زیر شناسایی می‌شوند:

Bitdefender:

• Gen:Variant.Barys.57573
• Gen:Variant.Graftor.Elzob.3935
• Gen:Variant.Symmi.49274

McAfee:

• W32/FunCash!worm
• Generic PWS.tr
• GenericRXCB-TI!298775B04A16

Sophos:

• Mal/EncPk-AGS
• Mal/Generic-L

همچنین نشانی‌های IP مورد استفاده قرار گرفته شده توسط این مهاجمان به‌شرح زیر می‌باشد:

• 181.1.253.234
• 200.82.62.24
  81.243.151.226
• 81.247.219.196
• 138.204.211.197
• 177.221.11.176
• 177.221.11.233
• 177.41.74.199
• 179.107.219.90
• 187.127.112.60
• 187.127.115.206
• 189.15.173.106
• 103.227.174.79
• 146.88.205.56
• 113.57.34.213
• 117.179.224.33
• 181.234.231.152
• 190.60.109.166
• 196.204.141.76
• 196.221.41.109
• 1.186.218.107
• 103.71.212.72
• 106.51.226.188
• 114.79.191.185
• 117.213.169.79
• 117.213.170.132
• 117.213.170.252
• 117.214.92.199
• 117.254.85.138
• 123.201.161.60
• 157.49.171.35
• 202.142.71.166
• 49.206.100.19
• 49.206.105.206
• 59.92.69.202
• 59.92.69.23
• 59.92.69.254
• 59.92.69.51
• 59.92.70.122
• 59.92.70.162
• 59.92.70.164
• 59.95.151.28
• 59.97.22.192
• 61.3.239.224
• 2.182.31.181
• 2.182.31.195
• 2.182.31.84
• 2.187.201.47
• 82.212.93.217
• 110.36.226.146
• 203.130.24.202
• 176.45.234.206
• 176.45.248.239
• 176.47.60.110
• 188.49.198.65
• 188.54.209.88
• 188.54.251.115
• 5.156.110.212
• 5.156.137.47
• 51.235.186.186
• 90.148.206.252
• 95.184.0.49
• 95.218.39.84
• 2.137.162.251
• 124.43.35.86
• 124.43.39.105
• 124.43.41.213
• 124.43.41.48
• 124.43.42.30
• 90.236.254.71
• 1.160.139.122
• 1.169.112.88
• 1.170.194.142
• 111.253.145.11
• 111.255.198.92
• 114.26.231.136
• 114.36.15.80
• 114.36.3.66
• 114.39.179.133
• 114.46.75.51
• 122.121.9.203
• 36.229.45.69
• 36.231.179.65
• 36.231.36.64
• 36.235.81.169
• 36.238.65.99
• 41.224.255.67