美国CERT最新揭露两款与朝鲜黑客组织“隐藏眼镜蛇”有关的恶意软件

美国计算机安全应急响应组(US-CERT)在本周二(5月29日)通过其网站发布了一份技术警报(Technical Alert,TA),称两款最新发现的恶意软件正在被朝鲜APT黑客组织“隐藏眼镜蛇(Hidden Cobra)”使用。


美国CERT最新揭露两款与朝鲜黑客组织“隐藏眼镜蛇”有关的恶意软件

警报指出,这一联合技术警报是美国国土安全部(DHS)和联邦调查局(FBI)之间分析努力的结果。在美国政府合作伙伴的协助下,DHS和FBI确定了与这两款恶意软件相关的互联网协议(IP)地址和入侵威胁指标(IOC)。

Hidden Cobra,通常也被称为“拉撒路(Lazarus)”或“和平守护者(Guardians of the Peace)”,被美国政府认为得到了朝鲜政府的支持,针对全球媒体组织、航空航天、金融和关键基础设施部门发起攻击。

该组织自 2009 年以来一直处于活跃状态,且据推测其早在2007年就已经涉足摧毁数据及破坏系统的网络间谍活动。根据调查显示,该组织还与2014年索尼影业遭黑客攻击事件以及2016年孟加拉国银行数据泄露事件有关,甚至被怀疑与去年席卷全球100多个国家的WannaCry勒索软件攻击事件有关。

DHS和FBI在联合技术警报中表示,最新发现的这两款恶意软件至少自2009年以来就一直在被Hidden Cobra组织使用。其中一款被命名为“Joanap”,一种远程访问木马(Remote Access Trojan,RAT);另一款被命名为“Brambul”,一种服务器消息块(Server Message Block,SMB)蠕虫。

Joanap-远程访问木马

警报称,Joanap是一种两阶段恶意软件,用于建立点对点通信并管理旨在启用其他操作的僵尸网络。它通常会将受感染系统用于托管其他恶意软件的文件,当用户访问受攻击者控制的网站或者打开恶意电子邮件附件时,这些文件便会在用户不知情的情况下自动下载。

Joanap也被认为是一种功能齐全的RAT,能够接收多个命令,这些命令可以由攻击者通过命令和控制(C&C)服务器远程发出。除了安装并运行更多其他恶意软件之外,它还能够窃取数据(如主机IP地址、主机名称和当前系统时间),并初始化受感染的windows设备上的代理通信。

其他一些值得注意的功能还包括:文件管理、进程管理、目录的创建和删除、僵尸网络管理和节点管理。

在对Joanap所使用的基础设施进行分析的过程中,DHS和FBI确定了87个受感染网络节点,IP地址归属于17个国家和地区,包括阿根廷、比利时、巴西、柬埔寨、中国、中国台湾、哥伦比亚、埃及、印度、伊朗、约旦、巴基斯坦、沙特阿拉伯、西班牙、斯里兰卡、瑞典和突尼斯。

Brambul-SMB蠕虫

Brambul是一种蛮力认证蠕虫,与WannaCry勒索软件一样,滥用SMB协议将自身传播到其他系统。这种恶意的Windows 32位SMB蠕虫,其功能是作为服务动态链接库(Dynamic Link Library,DLL)文件或便携式可执行(Portable Executable,PE)文件通过其他充当加载器(dropper)的恶意软件下载并安装到受害者的网络中。

执行时,Brambul会尝试与受感染系统和用户本地子网上的IP地址建立联系。如果成功,它将尝试通过使用嵌入密码列表启动蛮力密码攻击,从而通过SMB协议(端口139和445)获得未经授权的访问。此外,它还会为随后的攻击生成随机IP地址。

一旦在受感染系统上建立了未经授权的访问,它便会通过电子邮件向攻击者发送有关用户系统的信息,如IP地址、主机名以及用户名和密码。利用这些信息,攻击者便可以通过SMB协议远程访问受感染的系统。

总结

迄今为止,DHS和FBI已经多次发布有关于Hidden Cobra使用的恶意软件的技术警报,比如在去年发现的DeltaCharlie——一种DDoS工具,他们认为该工具被Hidden Cobra用于针对其目标发起分布式拒绝服务(DDoS)攻击。

其他与Hidden Cobra有关的恶意软件还包括:Destover和Wild Positron(也称Duuzer),以及具有复杂功能的Hangman,如DDoS僵尸网络、键盘记录器、RAT和硬盘擦除器。

DHS和FBI建议用户和管理员能够采取一些必要的行动作为预防措施,以保护自己的计算机网络。例如,采用最新的补丁程序来保持软件和系统处于最新状态、使用最新的防病毒软件、禁用SMB协议,以及限制未知来源的可执行文件和软件的安装。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

tags: 软件,恶意,SMB,Cobra,FBI,Hidden,IP,DHS,Joanap,Brambul,警报,攻击者,地址,访问
分页:12
转载请注明
本文标题:美国CERT最新揭露两款与朝鲜黑客组织“隐藏眼镜蛇”有关的恶意软件
本站链接:http://www.codesec.net/view/577153.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(97)