ФБР заявляет о причастности Северной Кореи к двум вирусным атакам

Влад Безмалый 30 Мая 2018 - 10:40

...

ФБР заявляет о причастности Северной Кореи к двум вирусным атакам

Вредоносы «Joanap» и «Brambul» собирают информацию о ваших системах и отправляют в Северную Корею.

US CERT выпустил техническое предупреждение, в котором говорится, что два образца вредоносных программ являются инструментами северокорейского правительства.

В уведомлении говорится, что Департамент внутренней безопасности Соединенных Штатов (DHS) и Федеральное бюро расследований (ФБР) идентифицировали IP-адреса, связанные с двумя семействами вредоносных программ, используемых правительством Северной Кореи.

Joanap считается двухступенчатой программой, которая устанавливает одноранговые каналы связи для управления бот-сетями, предназначенными для других операций.

Joanap позволяет фильтровать данные, устанавливать и запускать дополнительные нагрузки, а также настраивать прокси на взломанных устройствах.

При запуске Brambul пытается установить контакт с системами-жертвами и IP-адресами в местных подсетях зараженных устройств. В случае успеха приложение пытается получить несанкционированный доступ через протокол SMB (порты 139 и 445), запустив атаку с использованием перечня встроенных паролей. Кроме того, вредоносная программа генерирует случайные IP-адреса для дальнейших атак.

Если вредонос входит в систему, он передает информацию о ней агентам HIDDEN COBRA с использованием встроенных адресов электронной почты. Эта информация включает в себя IP-адрес и имя хоста, а также имя пользователя и пароль. Агенты HIDDEN COBRA могут использовать эту информацию для удаленного доступа к взломанной системе через протокол SMB.

«HIDDEN COBRA» — это кодовое название применяется в США для операций группы киберпреступников, связываемой с правительством Северной Кореи.

Оба вредоноса были активны с 2009 года и нацелены на множественные жертвы во всем мире, в том числе в США, в частности, на средства массовой информации, аэрокосмическую, финансовую и критически важную инфраструктуру.

Предупреждение включает загружаемые списки IP-адресов, с которыми сообщается вредонос, чтобы помочь их заблокировать.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Апреля 2026 - 12:07

iOS Домашние пользователи

Телега пропала из App Store, но в Google Play она всё ещё в топе

Приложение «Телега», которое продвигалось как Telegram со «стабильным доступом», исчезло из App Store. Это проверили корреспонденты Anti-Malware.ru. При этом в Google Play программа пока остаётся доступной и, как сообщается, занимает восьмое место в топе бесплатных приложений в России, а число скачиваний превышает 5 млн.

Новая волна внимания к приложению поднялась после заявлений группы анонимных исследователей.

Они утверждают, что «Телега» якобы использует схему «человек посередине» и может вмешиваться в трафик между пользователем и серверами Telegram.

По их версии, приложение сначала обращается к собственному API, получает список серверов, которые подменяют стандартные адреса Telegram, а затем перенаправляет подключение клиента уже на инфраструктуру самой «Телеги».

Впрочем, пока это именно заявления исследователей, вокруг которых продолжается обсуждение. Сама команда «Телеги» на фоне шума вокруг приложения тоже выступила с комментариями.

Разработчики ответили на публикации, где поднимались вопросы о происхождении приложения, его технологической базе и возможной связи проекта со структурами VK.

На этом фоне удаление из App Store выглядит особенно заметно. Пока неясно, связано ли оно напрямую с последними обвинениями и обсуждением безопасности, но сам факт исчезновения приложения из магазина Apple только добавил истории внимания.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!