首页 > 安全钻研 > 安全传递 > 安全公告

朝鲜APT组织两款新工具影响到我国

颁布功夫 2018-06-04

概述

美国CERT与河山安全数（DHS）和联国调查局（FBI）结合颁布了一项新警报，忠告朝鲜当局在使用APT组织Hidden Cobra（也被称为Lazarus Group）的两种恶意软件。

Hidden Cobra（也被称为Lazarus Group）提议过针对索尼、孟加拉中央银行和各类金融机构的攻击，蕴含WannaCry 勒索攻击。在从前的一年里, 河山安全数和联国调查局颁布的几项Hidden Cobra工具警报,蕴含：Sharpknot、Hardrain、Badcall、Bankshot、Fallchil、Volgmer 和Delta Charlie。

使用的两件恶意软件是：远程接见木马（RAT）Joanap和SMB蠕虫Brambul。

凭据靠得住报路，Hidden Cobra至少从2009年起就可能同时使用Joanap和Brambul恶意软件，将全球和美国的多个受害者作为指标—— 蕴含媒体，航空航天，金融和关键基础设施部门，美国当局已经在蕴含中国，西班牙，瑞典，印度，巴西和伊朗等17个国度的87个受损网络节点上找到了Joanap。

对暗藏眼镜蛇黑客组织（Hidden Cobra）所使用的远程接见工具 Joanap 后门木马和恶意的 Windows 32位服务器新闻块（SMB）蠕虫进行了分析。

远程接见工具——Joanap

Joanap 是一款两阶段的恶意软件，可用于成立点对点通讯和治理旨在启用其他操作的僵尸网络。该恶意软件为暗藏眼镜蛇提供了在被习染的 Windows 设备上泄露数据、删除和运行辅助有效负载、初始化代理通讯的能力。该软件的其他职能还蕴含：文件治理、过程治理、创建和删除目录和节点治理。

分析批注，Joanap 恶意软件使用 Rivest Cipher 4 加密来�；ぜ鞍挡赜氚挡匮劬瞪吆诳妥橹涞耐ㄑ�。一旦装置结束，这个恶意软件会在名为 mssscardprv.ax. 文件的 Windows 系统目录中创建一个日志条款。暗藏眼镜蛇黑客组织使用此文件来捕获和存储受害者的信息，如主机的 IP 地址、主机名称和当前系统功夫等。

SMB蠕虫——Brambul

Brambul 恶意软件是一种恶意的 Windows 32位服务器新闻块（SMB）蠕虫，其职能是作为一个服务动态链接库文件或一个可移植的可执行文件，时时由 dropper 恶意软件下载并装置到受害者的网络中。执行时，恶意软件会尝试与受害者系统和受害者本地子网上的 IP 地址成立联系。一旦成功，黑客将通过使用嵌入的密码列表来启动暴力密码攻击，利用法式会试图通过 SMB 和谈(端口139和445)获得未经授权的接见。此表，恶意软件会为随后的攻击天生随机的 IP 地址。

分析者疑惑恶意软件针对不安全或无安全保险用户账户进行攻击，并通过安全性较差的网络共享进行传布。一旦恶意软件在受害者的系统上成立了未经授权的接见，它会通过恶意的电子邮件地址将受害者系统的信息传递给暗藏眼镜蛇黑客组织。这些信息蕴含每个受害者系统的 IP 地址、主机名、用户名和密码。暗藏眼镜蛇黑客组织利用这些信息，通过 SMB 和谈，远程接见被习染的系统。

钻研人员对 Brambul 恶意软件的一个新变种进行了分析，确定了该恶意软件拥有的职能蕴含：网络系统信息、接管号令行参数、天生并执行自毁剧本、通过 SMB 在网络上传布、强造 SMB 登录凭证以及天生蕴含了指标主机系统信息的单一的邮件传输和谈电子邮件信息。

这次 DHS 和 FBI 结合警报暗示，FBI 以为暗藏眼镜蛇在使用被列在本汇报中的攻击批示器（IOC）文件中的IP地址，以维吃熹在受害者网络中的存在并对网络进行开发。 DHS 和 FBI 在分发这些 IP 地址和其他攻击批示器（IOC），以加强网络防御。

IOC颁布地址：https://www.us-cert.gov/ncas/alerts/TA18-149A

缓解战术

针对这两种大局的恶意软件攻击，警报给出了缓解战术。DHS 建议用户和治理员使用以下最佳实际作为预防措施来�；て渫扑慊纾�

1．维持所运行的系统和软件更新是最新版本。大无数的攻击针对出缺点的利用或操作系统。使用最新更新进行建补可大大削减攻击者可利用的突破口数量。

2．维持防病毒软件维持在最新版本，在执行前，对从网高低载的软件进行扫描。

3．限杜酌户装置和运行不必要软件利用法式的权限，并将最幼特权准则利用到所有系统和服务中。这些权限限杜仔助于阻止恶意软件的运行或限度其通过网络传布的能力。

4．扫描并删除可疑电子邮件附件。若是用户打开恶意附件并启用宏，嵌入的代码将在机械上执行恶意软件。企业和组织应试虑阻止可疑的含有附件的电子邮件。

5．若是不必要，请禁用 Microsoft 的文件和打印机共享服务。若是必要此项服务，请使用强密码或活动目录进行身份验证。

6．在组织工作站上启用幼我防火墙，并将其配置为回绝未经要求的衔接要求。

其他与暗藏眼镜蛇有关的恶意软件还蕴含：Destover和Wild Positron（也称Duuzer），以及拥有复杂职能的Hangman，如DDoS僵尸网络、键盘纪录器、RAT和硬盘擦除器。

GA黄金甲Venuseye威胁谍报平台，在第一功夫更新了有关的IOC。

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

朝鲜APT组织两款新工具影响到我国

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线