Brambul
O Brambul é um worm ameaçador, uma ameaça de malware que pode se espalhar por conta própria de um dispositivo para outro ou através de uma rede. Brambul é uma das muitas ameaças de malware que são comumente usadas por um grupo de hackers conhecido como Hidden Cobra ou Lazarus, um APT (Advanced Persistent Threat) que opera na Coréia do Norte. É muito provável que este APT seja patrocinado pelo governo norte-coreano e realize ataques de espionagem de alto perfil contra alvos politicamente significativos. O uso do Brambul em ataques de malware atinge as empresas dos setores aeroespacial e financeiro.
Índice
Como os Criminosos Usam o Worm Brambul
O Hidden Cobra usava o Brambul para realizar ataques que exploravam vulnerabilidades no Windows SMB (Bloco de Mensagens do Servidor), um recurso que é usado para conectar computadores em uma rede. O vazamento da NSA em 2018 revelou dois exploits de dia zero no Windows SMB que são alvos de Brambul para se espalhar de um computador para outro e realizar seu ataque. Quando o Brambul é entregue em um computador que faz parte de um SMB do Windows, o Brambul procura os endereços IP de outros dispositivos conectados à rede comprometida. Brambul então usará uma lista de senhas e nomes de usuário para tentar se infiltrar nos dispositivos da vítima. Usuários de computador com senhas fortes geralmente estarão a salvo desse aspecto do ataque de Brambul porque Brambul usa nomes de usuário e senhas que são muito básicos.
O Que Acontece Quando o Brambul Obtém Acesso ao Dispositivo da Vítima
Se Brambul conseguir adivinhar a senha e o nome de usuário corretos no computador da vítima, Brambul criará um compartilhamento administrativo e deixará seus arquivos no dispositivo da vítima. Brambul usará o nome crss.exe para disfarçar seu ataque. O Brambul irá coletar dados do computador infectado e enviá-los para o endereço de e-mail público 'whiat1001@gmail.com'. O Brambul coletará o nome do dispositivo infectado, o endereço IP do dispositivo infectado, a combinação de nome de usuário e senha que foi usada para se infiltrar no dispositivo e as informações do dispositivo inicial que foi infectado pelo Brambul.
Dados Adicionais Relacionados a um Ataque do Brambul
Brambul usa nomes de usuário e senhas muito básicos. Os dois nomes de usuários que o Brambul tentará por padrão são 'administrator' e 'db2admin'. A seguir, uma lista das senhas que Brambul tentará em seu ataque de força bruta, todas consideradas bastante fracas e comumente usadas por usuários de computador inexperientes:
password
1
123456
654321
pass
test1234
admin
!@#$%
root
!@#$
passwd
angel
BUMBLE
asdf
asdfg
asdfgh
12
123
1234
12345
1234567
54321
4321
1111
111111
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
~!@#$%^&*()_+
web
mail
web1
web123
web1234
mail1
mail123
mail1234
[USER NAME]!
[USER NAME]!@
@[USER NAME]!@
@[USER NAME]@
[USER NAME]1
[USER NAME]12
[USER NAME]123
[USER NAME]2
[USER NAME]!@#$
O worm Brambul não é usado para danificar os dispositivos das vítimas. Em vez disso, o propósito de Brambul é permanecer em funcionamento inativo sem alertar a vítima de sua presença. O Brambul continuará a coletar informações do dispositivo infectado e poderá ser usado pelos criminosos responsáveis por esses ataques para realizar os próximos passos nas operações de espionagem ou hacking. O objetivo principal do Brambul, assim como a maioria dos worms de computador, parece estar tão difundido quanto possível dentro de uma empresa ou rede alvo. O Lazarus APT pode acompanhar as infecções do Brambul com outras ameaças de malware projetadas para realizar etapas adicionais em um ataque de malware, que pode incluir RATs (Remote Access Tools) ou software espião projetado para coletar dados confidenciais.