當前位置:
首頁 > 最新 > 美國政府最新技術警報:警惕朝鮮黑客組織Hidden Cobra正在使用的兩款RAT和蠕蟲病毒

美國政府最新技術警報:警惕朝鮮黑客組織Hidden Cobra正在使用的兩款RAT和蠕蟲病毒

最新 06-09

近日,美國聯邦調查局(FBI)和國土安全部(DHS)聯合發布了一份技術警報,詳細介紹了與朝鮮政府相關的黑客組織——「隱藏眼鏡蛇(Hidden Cobra)」正在使用兩款最新發現的惡意軟體,來遠程滲透目標系統並竊取密碼和其他敏感數據。

DHS和FBI在其聯合技術警報中聲稱,最新發現的這兩款惡意軟體至少自2009年以來就一直在被Hidden Cobra組織使用。這兩款惡意軟體分別是遠程訪問工具(RAT)——「Joanap」,以及伺服器消息塊(Server Message Block,簡稱SMB)蠕蟲——「Brambul」。

此外,該警報還援引了一份報告,指責Hidden Cobra黑客組織與2014年索尼影業遭黑客攻擊事件以及2016年孟加拉國銀行數據泄露事件有關,甚至被懷疑其與去年在全球範圍內造成災難性影響的WannaCry勒索軟體攻擊事件有關。

關於Hidden Cobra黑客組織

結合此前DHS與FBI的報告,我們可以知道,Hidden Cobra其實也就是之前2014–2015年間活躍的Lazarus組織(又名Guardians of Peace),主要針對全球媒體組織、航空航天、金融和關鍵基礎設施部門發起攻擊。

2017年,DHS和FBI開始將這個組織命名為HIDDEN COBRA,並繼續對其進行跟蹤調查。據悉,除了最新發現的這兩款惡意程序外,在過去的一年裡,國土安全部和聯邦調查局發布的幾項Hidden Cobra工具警報還包括:Sharpknot、Hardrain、Badcall、Bankshot、Fallchil、Volgmer以及Delta Charlie等。

其中,DeltaCharlie能夠針對目標發動DDoS攻擊,包括DNS污染,NTP攻擊和CGP攻擊。殭屍網路惡意程序能夠在受感染系統上下載可執行文件,更新二進位文件,實時更改文件配置,管理進程,發動或停止DDoS攻擊。

美國計算機網路應急小組(CERT)發布的技術警報內容如下:

根據可信的第三方報告顯示,HIDDEN COBRA參與者至少從2009年以來就在同時使用Joanap和Brambul惡意軟體,針對全球多個受害者組織——包括媒體、航空航天、金融以及關鍵基礎設施部門——實施網路攻擊活動。

遠程訪問木馬(RAT)Joanap

兩階段惡意軟體Joanap是一款功能完整的遠程訪問木馬(RAT),它允許Hidden Cobra黑客通過命令和控制(C&C)伺服器遠程發布命令來「竊取數據,安裝並運行更多其他惡意軟體,並初始化受感染的Windows設備上的代理通信」。此外,該技術警報中提到了有關Joanap的其他關鍵職能還包括:文件管理、進程管理、目錄的創建和刪除以及節點管理等。

當受害者訪問Hidden Cobra定製的網站或打開惡意電子郵件附件時,他們就會不知不覺地從受感染的網站上下載相關惡意軟體。此外,Joanap還可以秘密地在被感染的網路內橫向移動到任何連接的節點。

通過對Joanap使用的基礎設施進行分析,DHS和FBI確定了87個受感染的網路節點。據悉,受感染的IP地址涉及的國家主要包括:

·阿根廷

·比利時

·巴西

·柬埔寨

·中國

·哥倫比亞

·埃及

·印度

·伊朗

·約旦

·巴基斯坦

·沙烏地阿拉伯

·西班牙

·斯里蘭卡

·瑞典

·中國台灣

·突尼西亞

SMB蠕蟲Brambul

Brambul惡意軟體是一種通過SMB共享傳播的強力蠕蟲。該惡意軟體允許Hidden Cobra黑客收集目標系統信息,接收命令行參數,生成並執行自殺腳本,使用SMB在網路中傳播,蠻力破解SMB登錄憑證,並生成包含目標主機系統信息的簡單郵件傳輸協議(SMTP)電子郵件消息。

Brambul惡意軟體是一種「動態鏈接庫(DLL)文件或攜帶型可執行文件,通過其他充當載入器(dropper)的惡意軟體下載並安裝到受害者的網路中」,並且通常是通過使用硬編碼登錄憑證列表進行傳播,以針對訪問受害者網路的SMB協議發起暴力密碼攻擊。根據該技術警報指出,Brambul惡意軟體主要針對「不安全或保護不當的用戶賬戶,並通過安全性較差的SMB網路共享協議進行傳播」。

檢測並緩解威脅

聯邦調查局表示,其具有「高度可信的證據」顯示,Hidden Cobra黑客組織正在利用該技術警報的威脅指標(IOC)文件中所包含的IP地址列表實施攻擊。目前,國土安全部和聯邦調查局正在分發這些IP地址及其他威脅指標信息,以強化網路防禦能力,最大限度地減少暴露於朝鮮政府惡意網路活動之下的受害者數量。

DHS和FBI建議用戶和管理員可以採取如下措施來降低此類威脅,以保護自身的網路系統:

·採用最新的補丁程序來保持軟體、系統以及防病毒處於最新狀態;

·應用最小許可權策略,禁用SMB協議;

·限制未知來源的可執行文件和軟體的安裝;

·掃描和阻止可疑電子郵件附件;

·配置個人工作站防火牆以拒絕未經允許的連接請求等等;

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

Spartacus勒索軟體分析
倒計時十天開啟,你能聽見我激動的心跳嗎!

TAG:嘶吼RoarTalk |