美国政府最新技术警报_警惕朝鲜黑客组织HiddenCobra正在使用的两款RAT和蠕虫病毒

近日，美国联邦调查局（FBI）和国土安全部（DHS）联合发布了一份技术警报，详细介绍了与朝鲜政府相关的黑客组织——“隐藏眼镜蛇（Hidden Cobra）”正在使用两款最新发现的恶意软件，来远程渗透目标系统并窃取密码和其他敏感数据。

DHS和FBI在其联合技术警报中声称，最新发现的这两款恶意软件至少自2009年以来就一直在被Hidden Cobra组织使用。这两款恶意软件分别是远程访问工具（RAT）——“Joanap”，以及服务器消息块（Server Message Block，简称SMB）蠕虫——“Brambul”。

此外，该警报还援引了一份报告，指责Hidden Cobra黑客组织与2014年索尼影业遭黑客攻击事件以及2016年孟加拉国银行数据泄露事件有关，甚至被怀疑其与去年在全球范围内造成灾难性影响的WannaCry勒索软件攻击事件有关。

关于Hidden Cobra黑客组织

结合此前DHS与FBI的报告，我们可以知道，Hidden Cobra其实也就是之前2014–2015年间活跃的Lazarus组织（又名Guardians of Peace），主要针对全球媒体组织、航空航天、金融和关键基础设施部门发起攻击。

2017年，DHS和FBI开始将这个组织命名为HIDDEN COBRA，并继续对其进行跟踪调查。据悉，除了最新发现的这两款恶意程序外，在过去的一年里，国土安全部和联邦调查局发布的几项Hidden Cobra工具警报还包括：Sharpknot、Hardrain、Badcall、Bankshot、Fallchil、Volgmer以及Delta Charlie等。

其中，DeltaCharlie能够针对目标发动DDoS攻击，包括DNS污染，NTP攻击和CGP攻击。僵尸网络恶意程序能够在受感染系统上下载可执行文件，更新二进制文件，实时更改文件配置，管理进程，发动或停止DDoS攻击。

美国计算机网络应急小组（CERT）发布的技术警报内容如下：

根据可信的第三方报告显示，HIDDEN COBRA参与者至少从2009年以来就在同时使用Joanap和Brambul恶意软件，针对全球多个受害者组织——包括媒体、航空航天、金融以及关键基础设施部门——实施网络攻击活动。

远程访问木马（RAT）Joanap

两阶段恶意软件Joanap是一款功能完整的远程访问木马（RAT），它允许Hidden Cobra黑客通过命令和控制（C&C）服务器远程发布命令来“窃取数据，安装并运行更多其他恶意软件，并初始化受感染的Windows设备上的代理通信”。此外，该技术警报中提到了有关Joanap的其他关键职能还包括：文件管理、进程管理、目录的创建和删除以及节点管理等。

当受害者访问Hidden Cobra定制的网站或打开恶意电子邮件附件时，他们就会不知不觉地从受感染的网站上下载相关恶意软件。此外，Joanap还可以秘密地在被感染的网络内横向移动到任何连接的节点。

通过对Joanap使用的基础设施进行分析，DHS和FBI确定了87个受感染的网络节点。据悉，受感染的IP地址涉及的国家主要包括：

· 阿根廷

· 比利时

· 巴西

· 柬埔寨

· 中国

· 哥伦比亚

· 埃及

· 印度

· 伊朗

· 约旦

· 巴基斯坦

· 沙特阿拉伯

· 西班牙

· 斯里兰卡

· 瑞典

· 中国台湾

· 突尼斯

SMB蠕虫Brambul

Brambul恶意软件是一种通过SMB共享传播的强力蠕虫。该恶意软件允许Hidden Cobra黑客收集目标系统信息，接收命令行参数，生成并执行自杀脚本，使用SMB在网络中传播，蛮力破解SMB登录凭证，并生成包含目标主机系统信息的简单邮件传输协议（SMTP）电子邮件消息。

Brambul恶意软件是一种“动态链接库（DLL）文件或便携式可执行文件，通过其他充当加载器（dropper）的恶意软件下载并安装到受害者的网络中”，并且通常是通过使用硬编码登录凭证列表进行传播，以针对访问受害者网络的SMB协议发起暴力密码攻击。根据该技术警报指出，Brambul恶意软件主要针对“不安全或保护不当的用户账户，并通过安全性较差的SMB网络共享协议进行传播”。

检测并缓解威胁

联邦调查局表示，其具有“高度可信的证据”显示，Hidden Cobra黑客组织正在利用该技术警报的威胁指标（IOC）文件中所包含的IP地址列表实施攻击。目前，国土安全部和联邦调查局正在分发这些IP地址及其他威胁指标信息，以强化网络防御能力，最大限度地减少暴露于朝鲜政府恶意网络活动之下的受害者数量。

DHS和FBI建议用户和管理员可以采取如下措施来降低此类威胁，以保护自身的网络系统：

· 采用最新的补丁程序来保持软件、系统以及防病毒处于最新状态；

· 应用最小权限策略，禁用SMB协议；

· 限制未知来源的可执行文件和软件的安装；

· 扫描和阻止可疑电子邮件附件；

· 配置个人工作站防火墙以拒绝未经允许的连接请求等等；