美国政府最新技术警报_警惕朝鲜黑客组织HiddenCobra正在使用的两款RAT和蠕虫病毒

近日,美国联邦调查局(FBI)和国土安全部(DHS)联合发布了一份技术警报,详细介绍了与朝鲜政府相关的黑客组织——“隐藏眼镜蛇(Hidden Cobra)”正在使用两款最新发现的恶意软件,来远程渗透目标系统并窃取密码和其他敏感数据。

DHS和FBI在其联合技术警报中声称,最新发现的这两款恶意软件至少自2009年以来就一直在被Hidden Cobra组织使用。这两款恶意软件分别是远程访问工具(RAT)——“Joanap”,以及服务器消息块(Server Message Block,简称SMB)蠕虫——“Brambul”。

此外,该警报还援引了一份报告,指责Hidden Cobra黑客组织与2014年索尼影业遭黑客攻击事件以及2016年孟加拉国银行数据泄露事件有关,甚至被怀疑其与去年在全球范围内造成灾难性影响的WannaCry勒索软件攻击事件有关。

关于Hidden Cobra黑客组织

结合此前DHS与FBI的报告,我们可以知道,Hidden Cobra其实也就是之前2014–2015年间活跃的Lazarus组织(又名Guardians of Peace),主要针对全球媒体组织、航空航天、金融和关键基础设施部门发起攻击。

2017年,DHS和FBI开始将这个组织命名为HIDDEN COBRA,并继续对其进行跟踪调查。据悉,除了最新发现的这两款恶意程序外,在过去的一年里,国土安全部和联邦调查局发布的几项Hidden Cobra工具警报还包括:Sharpknot、Hardrain、Badcall、Bankshot、Fallchil、Volgmer以及Delta Charlie等。

其中,DeltaCharlie能够针对目标发动DDoS攻击,包括DNS污染,NTP攻击和CGP攻击。僵尸网络恶意程序能够在受感染系统上下载可执行文件,更新二进制文件,实时更改文件配置,管理进程,发动或停止DDoS攻击。

美国计算机网络应急小组(CERT)发布的技术警报内容如下:

根据可信的第三方报告显示,HIDDEN COBRA参与者至少从2009年以来就在同时使用Joanap和Brambul恶意软件,针对全球多个受害者组织——包括媒体、航空航天、金融以及关键基础设施部门——实施网络攻击活动。

远程访问木马(RAT)Joanap

两阶段恶意软件Joanap是一款功能完整的远程访问木马(RAT),它允许Hidden Cobra黑客通过命令和控制(C&C)服务器远程发布命令来“窃取数据,安装并运行更多其他恶意软件,并初始化受感染的Windows设备上的代理通信”。此外,该技术警报中提到了有关Joanap的其他关键职能还包括:文件管理、进程管理、目录的创建和删除以及节点管理等。

当受害者访问Hidden Cobra定制的网站或打开恶意电子邮件附件时,他们就会不知不觉地从受感染的网站上下载相关恶意软件。此外,Joanap还可以秘密地在被感染的网络内横向移动到任何连接的节点。

通过对Joanap使用的基础设施进行分析,DHS和FBI确定了87个受感染的网络节点。据悉,受感染的IP地址涉及的国家主要包括:

· 阿根廷

· 比利时

· 巴西

· 柬埔寨

· 中国

· 哥伦比亚

· 埃及

· 印度

· 伊朗

· 约旦

· 巴基斯坦

· 沙特阿拉伯

· 西班牙

· 斯里兰卡

· 瑞典

· 中国台湾

· 突尼斯

SMB蠕虫Brambul

Brambul恶意软件是一种通过SMB共享传播的强力蠕虫。该恶意软件允许Hidden Cobra黑客收集目标系统信息,接收命令行参数,生成并执行自杀脚本,使用SMB在网络中传播,蛮力破解SMB登录凭证,并生成包含目标主机系统信息的简单邮件传输协议(SMTP)电子邮件消息。

Brambul恶意软件是一种“动态链接库(DLL)文件或便携式可执行文件,通过其他充当加载器(dropper)的恶意软件下载并安装到受害者的网络中”,并且通常是通过使用硬编码登录凭证列表进行传播,以针对访问受害者网络的SMB协议发起暴力密码攻击。根据该技术警报指出,Brambul恶意软件主要针对“不安全或保护不当的用户账户,并通过安全性较差的SMB网络共享协议进行传播”。

检测并缓解威胁

联邦调查局表示,其具有“高度可信的证据”显示,Hidden Cobra黑客组织正在利用该技术警报的威胁指标(IOC)文件中所包含的IP地址列表实施攻击。目前,国土安全部和联邦调查局正在分发这些IP地址及其他威胁指标信息,以强化网络防御能力,最大限度地减少暴露于朝鲜政府恶意网络活动之下的受害者数量。

DHS和FBI建议用户和管理员可以采取如下措施来降低此类威胁,以保护自身的网络系统:

· 采用最新的补丁程序来保持软件、系统以及防病毒处于最新状态;

· 应用最小权限策略,禁用SMB协议;

· 限制未知来源的可执行文件和软件的安装;

· 扫描和阻止可疑电子邮件附件;

· 配置个人工作站防火墙以拒绝未经允许的连接请求等等;