FBI y AFOSI bloquean botnet norcoreana Joanap

31 Enero 2019
Medio

El FBI y la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI) obtuvieron órdenes legales del Departamento de Justicia de EE.UU. (DoJ), para identificar a las víctimas de la botnet Joanap, uniéndose intencionalmente a la red infectada. La información recopilada sobre los equipos infectados incluyó direcciones IP, números de puerto y tiempos de conexión, que permitieron al FBI y AFOSI construir el mapa de la botnet.

En la última década, Joanap, proveniente de Corea del Norte, ha infectado a muchos equipos con Microsoft Windows. Se cree que la botnet es parte de Lazarus (Hidden Cobra) y Guardians of Peace, grupos de  hackers que están clasificados como APT’s (Amenaza Persistente Avanzada). A su vez, Hidden Cobra está asociado al ransomware Wanna Cry, de 2016, al ataque de SWIFT Banking el mismo año, y al hackeo de Sony Motion Pictures en 2014.

Joanap es una herramienta de acceso remoto (RAT), que se conecta al sistema de la víctima con la ayuda de un troyano SMB llamado Brambul, que se rastrea desde un equipo mediante el uso compartido de archivos de Windows Server Message Block (SMB).

Luego, Brambul descarga Joanap en sus víctimas, abriendo un backdoor y controlando remotamente la red de computadores Windows infectados, los que comienzan a formar parte de su sistema de Command and Control (C&C).

Si bien Joanap está siendo detectado por muchos antivirus, incluido Windows Defender, la infraestructura de peer-to-peer (P2P) del malware deja una gran cantidad de computadores infectados conectados a Internet.


Tags: #joanap #botnet #fbi #afosi #doj #coreadelnorte #apt #rat #brambul #malware #windows #microsoft


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.