Zowel de FBI als het Amerikaanse Department of Homeland Security (DHS) hebben opnieuw gewaarschuwd voor de SMB-worm Brambul en de remote access tool (RAT) Joanap.
Beide instellingen baseren zich op rapporten van “betrouwbare derde partijen” waarin staat dat Noord-Korea al vanaf 2009 van deze malware gebruikmaakt. Doelen zouden ondernemingen in de branches financiën, luchtvaart en media zijn, alsook de vitale infrastructuur, zowel in de VS als in andere landen.
Joanap
Met behulp van Joanap-malware kunnen hackers zich volledige toegang tot een systeem verschaffen. De besmetting gebeurt via andere malware die al op het systeem aanwezig is. De Amerikaanse overheid heeft verklaard dat ze 87 geïnfecteerde netwerknodes heeft aangetroffen tijdens een onderzoek naar de Joanap-malware. Het zou gaan om infecties in België, Spanje, Zweden en in landen in Azië, het Midden-Oosten en Zuid-Amerika.
Brambul
Brambul wordt gekarakteriseerd als een “brute-force authentication worm”. De malware tracht zich toegang te verschaffen tot systemen met behulp van een lijst met gebruikersnamen en wachtwoorden en het SMB-protocol. Ook bij Brambul vindt de eerste besmetting plaats met behulp van malware die al aanwezig is op een systeem. Eenmaal actief vergaart Brambul onder meer informatie over de binnengedrongen systemen.