美国政府机构今天发布了一份恶意软件分析报告,披露了朝鲜黑客在针对政府承包商的攻击中使用的远程访问特洛伊木马(RAT)恶意软件的信息。
该恶意软件由网络安全和基础设施安全局(CISA)和联邦调查局(FBI)确认,被称为BLINDINGCAN。
这两家机构将该特洛伊木马归咎于被追踪为隐藏眼镜蛇(又名Lazarus Group和APT38)的朝鲜政府支持的黑客组织。
根据这些机构的分析,RAT系统带有内置的远程操作功能,可以在受害者的系统上提供各种功能。
CISA收到四个Microsoft Word开放式可扩展标记语言(XML)文档(.docx)、两个动态链接库(DLL)。
";.docx文件尝试连接到外部域进行下载。已提交32位和64位DLL,分别安装名为';iconcache.db';的32位和64位DLL。DLL';iconcache.db';解包并执行Hidden Cobra RAT的变体。";
根据CISA和FBI恶意软件分析结果,BLINDINGCAN恶意软件还可以从受危害的系统中删除自身并清除其痕迹,以避免检测到其他功能:
·检索有关所有已安装磁盘的信息,包括磁盘类型和磁盘上的可用空间量·创建、启动和终止新进程及其主线程·搜索、读取、写入、移动和执行文件·获取和修改文件或目录时间戳·更改进程或文件的当前目录·从受感染的系统中删除恶意软件和与恶意软件关联的工件
发布AR20-232A恶意软件分析报告是为了向组织提供通过手动反向工程获取的详细恶意软件信息。
它还旨在更好地帮助网络防御者检测和限制暴露在隐藏的眼镜蛇恶意网络活动中,因为美国政府指的是朝鲜政府的恶意活动。
我们最新的恶意软件分析报告发现了朝鲜行为者用来攻击政府承包商的#恶意软件变体。组织应立即采取行动保护其网络并减少暴露:https://t.co/nT9rOXyuvF.。#网络安全#InfoSec。
-网络安全和基础设施安全局(@CISAgov)2020年8月19日。
今年5月又曝光了三种朝鲜恶意软件变体,其中包括一种名为KCOPPERHEDGE的远程访问工具,用于攻击两家加密货币交易所,以及两种名为TTAINTEDSCRIBE和Ebbledash的特洛伊木马程序。
2月中旬,美国政府发布了另外六个安全建议,提供了有关朝鲜恶意软件的信息,暴露了以下内容:
·BISTROMATH(全功能RAT)、5.SLICKSHOES(THEMIDA打包恶意软件下载器)、.CROWDEDFLOUNDER(远程访问特洛伊木马加载器)、..HOTCROISSANT(具有后门功能的信标植入)、9.ARTFULPIE(从硬编码URL加载和执行DLL的恶意软件)、.·BUFFETLINE(带后门的信标植入。
一年前,也就是2019年,CISA和FBI还发布了另一款用于窃取数据的名为ELECTRICFISH的恶意软件的信息,以及用于屏蔽恶意流量的HOPLIGHT特洛伊木马程序的信息。
2020年4月,美国政府悬赏高达500万美元,悬赏提供有关朝鲜黑客网络活动的信息,包括过去或正在进行的行动,以扰乱与朝鲜有关的非法活动,或查明朝鲜行为者的身份或位置。
朝鲜黑客组织是两起加密货币抢劫案的幕后黑手,这些抢劫案在2017年和2018年导致5.71亿美元的损失。
2019年9月,美国财政部签署了对朝鲜支持的三个黑客组织(Lazarus、Blunowoff和Andariel)的制裁。
更多关于隐藏的眼镜蛇活动的信息,以之前发布的警报的形式,可以通过美国国家网络意识系统获得。