天创培训:您身边的信息安全培训专家!
行业动态
美国CERT最新揭露两款与朝鲜黑客组织“隐藏眼镜蛇”有关的恶意软件

美国CERT最新揭露两款与朝鲜黑客组织“隐藏眼镜蛇”有关的恶意软件

美国计算机安全应急响应组(US-CERT)在本周二(5月29日)通过其网站发布了一份技术警报(Technical Alert,TA),称两款最新发现的恶意软件正在被朝鲜APT黑客组织“隐藏眼镜蛇(Hidden Cobra)”使用。

警报指出,这一联合技术警报是美国国土安全部(DHS)和联邦调查局(FBI)之间分析努力的结果。在美国政府合作伙伴的协助下,DHS和FBI确定了与这两款恶意软件相关的互联网协议(IP)地址和入侵威胁指标(IOC)。

Hidden Cobra,通常也被称为“拉撒路(Lazarus)”或“和平守护者(Guardians of the Peace)”,被美国政府认为得到了朝鲜政府的支持,针对全球媒体组织、航空航天、金融和关键基础设施部门发起攻击。

该组织自 2009 年以来一直处于活跃状态,且据推测其早在2007年就已经涉足摧毁数据及破坏系统的网络间谍活动。根据调查显示,该组织还与2014年索尼影业遭黑客攻击事件以及2016年孟加拉国银行数据泄露事件有关,甚至被怀疑与去年席卷全球100多个国家的WannaCry勒索软件攻击事件有关。

DHS和FBI在联合技术警报中表示,最新发现的这两款恶意软件至少自2009年以来就一直在被Hidden Cobra组织使用。其中一款被命名为“Joanap”,一种远程访问木马(Remote Access Trojan,RAT);另一款被命名为“Brambul”,一种服务器消息块(Server Message Block,SMB)蠕虫。

Joanap-远程访问木马

警报称,Joanap是一种两阶段恶意软件,用于建立点对点通信并管理旨在启用其他操作的僵尸网络。它通常会将受感染系统用于托管其他恶意软件的文件,当用户访问受攻击者控制的网站或者打开恶意电子邮件附件时,这些文件便会在用户不知情的情况下自动下载。

Joanap也被认为是一种功能齐全的RAT,能够接收多个命令,这些命令可以由攻击者通过命令和控制(C&C)服务器远程发出。除了安装并运行更多其他恶意软件之外,它还能够窃取数据(如主机IP地址、主机名称和当前系统时间),并初始化受感染的Windows设备上的代理通信。

其他一些值得注意的功能还包括:文件管理、进程管理、目录的创建和删除、僵尸网络管理和节点管理。

在对Joanap所使用的基础设施进行分析的过程中,DHS和FBI确定了87个受感染网络节点,IP地址归属于17个国家和地区,包括阿根廷、比利时、巴西、柬埔寨、中国、中国台湾、哥伦比亚、埃及、印度、伊朗、约旦、巴基斯坦、沙特阿拉伯、西班牙、斯里兰卡、瑞典和突尼斯。

Brambul-SMB蠕虫

Brambul是一种蛮力认证蠕虫,与WannaCry勒索软件一样,滥用SMB协议将自身传播到其他系统。这种恶意的Windows 32位SMB蠕虫,其功能是作为服务动态链接库(Dynamic Link Library,DLL)文件或便携式可执行(Portable Executable,PE)文件通过其他充当加载器(dropper)的恶意软件下载并安装到受害者的网络中。

执行时,Brambul会尝试与受感染系统和用户本地子网上的IP地址建立联系。如果成功,它将尝试通过使用嵌入密码列表启动蛮力密码攻击,从而通过SMB协议(端口139和445)获得未经授权的访问。此外,它还会为随后的攻击生成随机IP地址。

一旦在受感染系统上建立了未经授权的访问,它便会通过电子邮件向攻击者发送有关用户系统的信息,如IP地址、主机名以及用户名和密码。利用这些信息,攻击者便可以通过SMB协议远程访问受感染的系统。

总结

迄今为止,DHS和FBI已经多次发布有关于Hidden Cobra使用的恶意软件的技术警报,比如在去年发现的DeltaCharlie——一种DDoS工具,他们认为该工具被Hidden Cobra用于针对其目标发起分布式拒绝服务(DDoS)攻击。

其他与Hidden Cobra有关的恶意软件还包括:Destover和Wild Positron(也称Duuzer),以及具有复杂功能的Hangman,如DDoS僵尸网络、键盘记录器、RAT和硬盘擦除器。

DHS和FBI建议用户和管理员能够采取一些必要的行动作为预防措施,以保护自己的计算机网络。例如,采用最新的补丁程序来保持软件和系统处于最新状态、使用最新的防病毒软件、禁用SMB协议,以及限制未知来源的可执行文件和软件的安装。