美政府警告北韓以木馬、蠕蟲程式發動網路攻擊，台灣也受害

美國聯邦調查局（FBI）及國土安全部周三聯合對大眾發佈警告，表示北韓政府正以木馬與蠕蟲程式在網路上發動攻擊，用以駭入電腦、竊取密碼及重要資訊，台灣也被發現在感染範圍內。

這波攻擊行動與名為Joanap的遠端存取工具（remote access tool, RAT），及名為Brambul的SMB (Server Message Block, SMB) 蠕蟲程式有關，美國政府稱之為Hidden Cobra，相信策動者是北韓政府。FBI和國土安全部認為，Hidden Cobra背後的駭客組織至少從2009年開始就利兩隻惡意程式，包括Joanap及Brambul攻擊美國及其他國家的媒體、航太、金融業及其他重要基礎設施。

Joanap通常是經由網頁掛馬攻擊或受害者不慎開啟惡意郵件附檔散佈。它能實行兩階段攻擊。在植入電腦後，它會在受害電腦的Windows System Directory建立名為 mssscardprv.ax的檔案，得以蒐集受害者重要資訊，如主機IP位址、主機名稱、現有系統時間等，也能讓Hidden Cobra下載、執行第二階段的攻擊程式碼，並從受害Windows裝置建立與Hidden Cobra伺服器的加密通訊，以接受進一步攻擊指令。Joanap其他功能還包括檔案、程序與節點管理、建立與刪除目錄等。

針對Joanap的分析，發現有87個網路節點遭到入侵，受影響的IP位址涵括台灣、中國、西班牙、沙烏地阿拉伯、印度等17國。

Brambul則是32-bit的Windows SMB蠕蟲。研究人員懷疑它鎖定不安全的網路磁碟共享散佈，針對SMB協定暴力破解密碼以存取受害者系統，再以惡意電子郵件傳送受害電腦的IP、主機名稱、用戶名稱及密碼資訊給Hidden Cobra，後者則以此透過SMB協定遠端存取受害系統。Brambul較新變種甚至還有執行自殺程式碼及利用SMB在網路上繁殖擴散等功能。

為避免遭惡意程式竊取敏感資訊，除了基本的防毒、系統安全修補的更新、郵件掃瞄外，FBI及國土安全部並建議企業網管人員檢視所有存取系統的IP位址都是來自合法的IP位址空間，同時也建議關閉微軟檔案及印表機共享服務。