美国政府曝光朝鲜新恶意软件，网络钓鱼攻击

美国政府今天公布了一个被追踪为隐藏眼镜蛇的朝鲜政府支持的黑客组织在恶意网络活动活动中使用的三种新的恶意软件变体的信息。

根据联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国防部(DoD)发布的信息，#朝鲜网络行为者正在使用这种新的恶意软件进行网络钓鱼和远程访问，以进行非法活动、窃取资金和逃避制裁。

美国网络司令部还将新发现的恶意软件变体的五个样本上传到VirusTotal恶意软件聚合库。

@fbi：https://t.co/zScGUiJAVb将5个新的恶意软件样本归因于朝鲜。这些恶意软件被#朝鲜网络行为者用于网络钓鱼和远程访问，以进行非法活动、窃取资金和逃避制裁。@US_CYBERCOM@CISAgov。

-USCYBERCOM恶意软件警报(@CNMF_VirusAlert)2020年5月12日。

除了美国网络司令部共享的恶意软件样本外，CISA还在其网站上发布了详细的恶意软件分析报告(MARS)，其中包含每个检测到的样本的危害指标(IOC)和YARA规则。

网络安全机构还以Snort规则的形式提供缓解措施，并为系统所有者和管理员提供建议，以加强其组织系统的安全态势。

发布MARS是为了帮助网络防御者检测和减少暴露在隐藏的眼镜蛇(COBRA)恶意网络活动中，因为美国政府网络安全机构提到了朝鲜政府的恶意活动。

第一个新的恶意软件变体-COPPERHEDGE-被描述为高级持续性威胁(APT)网络参与者在攻击加密货币交易所和相关实体时使用的远程访问工具(RAT)。

此RAT以帮助威胁行为者执行系统侦察、在受危害的系统上运行任意命令以及渗出被盗数据的能力而闻名。

TAINTEDSCRIBE是一个特洛伊木马程序，充当一个功能齐全的带有命令模块的信标植入程序，旨在伪装成微软的叙述者。

特洛伊木马程序从命令和控制(C2)服务器下载其命令执行模块，然后能够下载、上载、删除和执行文件；启用Windows CLI访问；创建和终止进程；以及执行目标系统枚举。

最后但并非最不重要的一点是，Pebbledash是朝鲜的另一个特洛伊木马程序，它充当功能齐全的信标植入物，被朝鲜支持的黑客组织用来下载、上传、删除和执行文件；启用Windows CLI访问；创建和终止进程；以及执行目标系统枚举。

#ICYMI 21恶意软件样本已经在病毒总数中，@FBI也将其归因于朝鲜。#CNMF使政府能够全力以赴寻找朝鲜的恶意网络活动。查看@CISAgov发布的最新3个火星https://t.co/TRf1cwOkhW，更好地保护您的网络。

-USCYBERCOM恶意软件警报(@CNMF_VirusAlert)2020年5月12日。

上个月，美国政府还发布了对朝鲜黑客活动的指导意见，并悬赏高达500万美元，奖励任何有关朝鲜黑客网络活动的信息，包括过去或正在进行的行动，如果这些行动有助于识别朝鲜行为者的身份或位置，或者扰乱与朝鲜有关的非法活动。

朝鲜支持的黑客组织也是2017年至2018年期间导致5.71亿美元损失的加密货币抢劫案的幕后黑手，美国财政部于2019年9月签署了对三个朝鲜支持的黑客组织(Lazarus、Blunowoff和Andariel)的制裁。

两名中国公民还被控在2020年3月期间洗钱，价值超过1亿美元的加密货币在2018年被拉撒路集团(Lazarus Group)窃取，其中约2.5亿美元是在一次大规模加密货币交易所黑客攻击中窃取的，

美国政府在2月中旬发布了另外6份针对朝鲜恶意软件的恶意软件分析报告，包括：

·BISTROMATH(全功能RAT)、5.SLICKSHOES(THEMIDA打包恶意软件下载器)、.CROWDEDFLOUNDER(远程访问特洛伊木马加载器)、..HOTCROISSANT(具有后门功能的信标植入)、9.ARTFULPIE(从硬编码URL加载和执行DLL的恶意软件)、.·BUFFETLINE(带后门的信标植入。

2019年，CISA和FBI还发布了另一种被朝鲜APT组织Lazarus用来窃取数据的名为ELECTRICFISH的恶意软件菌株的最新信息，以及用于屏蔽恶意流量的Lazarus HOPLIGHT特洛伊木马的信息。

有关朝鲜隐藏的眼镜蛇恶意网络活动的更多信息，可以在这里获得，这些活动是以之前的火星和通过国家网络感知系统发布的警报的形式发布的。