JAKU es el nombre de la investigación sobre una campaña de botnets que realiza el equipo de Investigaciones Especiales de Forcepoint Security Labs. Lo que distingue a JAKU es que, a diferencia de las miles de víctimas de los botnets, ataca y sigue a una cantidad pequeña de individuos específicos incluyendo a miembros de Organizaciones No Gubernamentales (ONGs), compañías de ingeniería, académicos, científicos y funcionarios gubernamentales. Los temas comunes que se comparten entre estos individuos son Corea del Norte (DPRK) y Pyongyang.
JAKU ataca a sus víctimas principalmente a través de archivos BitTorrent ‘envenenados’ compartidos. Las víctimas se encuentran por todo el mundo, pero un número importante de ellas se localizan en Corea del Sur y Japón. Forcepoint Security Labs determinó que los servidores de Comando y Control (C2) del botnet que se han identificado también se localizan en la región de Asia-Pacífico, incluyendo a países como Singapur, Malasia y Tailandia.
Utiliza tres mecanismos diferentes de C2, lo que lo hace adaptable. El código comprimido y cifrado que se incluye en los archivos de imágenes se utiliza para distribuir el malware de la segunda etapa, mientras que los controladores del botnet monitorean a sus miembros a través de bases de datos SQLite ofuscadas. También los controladores reutilizan ingeniosamente el software de código abierto que está ampliamente disponible, incluyendo el protocolo de transporte de red UDT, el software copiado de los sitios de bloggers coreanos y código publicado previamente el cual se ha reescrito.
Puedes conocer el análisis técnico detallado en el sitio oficial. Puede descargar aquí una lista de los Indicadores de Compromiso que ya están disponibles.
Deja un comentario