首页 > 清静研究 > 清静转达 > 清静通告

朝鲜APT组织两款新工具影响到我国

宣布时间 2018-06-04

概述

美国CERT与领土清静部（DHS）和联邦视察局（FBI）团结宣布了一项新警报，忠言朝鲜政府正在使用APT组织Hidden Cobra（也被称为Lazarus Group）的两种恶意软件。

Hidden Cobra（也被称为Lazarus Group）提倡过针对索尼、孟加拉中央银行和种种金融机构的攻击，包括WannaCry 勒索攻击。在已往的一年里, 领土清静部和联邦视察局宣布的几项Hidden Cobra工具警报,包括：Sharpknot、Hardrain、Badcall、Bankshot、Fallchil、Volgmer 和Delta Charlie。

使用的两件恶意软件是：远程会见木马（RAT）Joanap和SMB蠕虫Brambul。

凭证可靠报道，Hidden Cobra至少从2009年起就可能同时使用Joanap和Brambul恶意软件，将全球和美国的多个受害者作为目的—— 包括媒体，航空航天，金融和要害基础设施部分，美国政府已经在包括中国，西班牙，瑞典，印度，巴西和伊朗等17个国家的87个受损网络节点上找到了Joanap。

对隐藏眼镜蛇黑客组织（Hidden Cobra）所使用的远程会见工具 Joanap 后门木马和恶意的 Windows 32位服务器新闻块（SMB）蠕虫举行了剖析。

远程会见工具——Joanap

Joanap 是一款两阶段的恶意软件，可用于建设点对点通讯和治理旨在启用其他操作的僵尸网络。该恶意软件为隐藏眼镜蛇提供了在被熏染的 Windows 装备上泄露数据、删除和运行辅助有用负载、初始化署理通讯的能力。该软件的其他功效还包括：文件治理、历程治理、建设和删除目录和节点治理。

剖析批注，Joanap 恶意软件使用 Rivest Cipher 4 加密来�；ぜ耙赜胍匮劬瞪吆诳妥橹涞耐ㄑ�。一旦装置完毕，这个恶意软件会在名为 mssscardprv.ax. 文件的 Windows 系统目录中建设一个日志条目。隐藏眼镜蛇黑客组织使用此文件来捕获和存储受害者的信息，如主机的 IP 地点、主机名称和目今系统时间等。

SMB蠕虫——Brambul

Brambul 恶意软件是一种恶意的 Windows 32位服务器新闻块（SMB）蠕虫，其功效是作为一个服务动态链接库文件或一个可移植的可执行文件，经常由 dropper 恶意软件下载并装置到受害者的网络中。执行时，恶意软件会实验与受害者系统和受害者外地子网上的 IP 地点建设联系。一旦乐成，黑客将通过使用嵌入的密码列表来启动暴力密码攻击，应用程序会试图通过 SMB 协议(端口139和445)获得未经授权的会见。别的，恶意软件会为随后的攻击天生随机的 IP 地点。

剖析者嫌疑恶意软件针对不清静或无清静包管用户账户举行攻击，并通过清静性较差的网络共享举行撒播。一旦恶意软件在受害者的系统上建设了未经授权的会见，它会通过恶意的电子邮件地点将受害者系统的信息转达给隐藏眼镜蛇黑客组织。这些信息包括每个受害者系统的 IP 地点、主机名、用户名和密码。隐藏眼镜蛇黑客组织使用这些信息，通过 SMB 协议，远程会见被熏染的系统。

研究职员对 Brambul 恶意软件的一个新变种举行了剖析，确定了该恶意软件具有的功效包括：网络系统信息、吸收下令行参数、天生并执行自毁剧本、通过 SMB 在网络上撒播、强制 SMB 登录凭证以及天生包括了目的主机系统信息的简朴的邮件传输协议电子邮件信息。

此次 DHS 和 FBI 团结警报体现，FBI 以为隐藏眼镜蛇正在使用被列在本报告中的攻击指示器（IOC）文件中的IP地点，以维持其在受害者网络中的保存并对网络举行开发。 DHS 和 FBI 正在分发这些 IP 地点和其他攻击指示器（IOC），以增强网络防御。

IOC宣布地点：https://www.us-cert.gov/ncas/alerts/TA18-149A

缓解战略

针对这两种形式的恶意软件攻击，警报给出了缓解战略。DHS 建议用户和治理员使用以下最佳实践作为预防步伐来�；て渑趟慊纾�

1．坚持所运行的系统和软件更新是最新版本。大大都的攻击针对有缺陷的应用或操作系统。使用最新更新举行修补可大大镌汰攻击者可使用的突破口数目。

2．坚持防病毒软件维持在最新版本，在执行前，对从网上下载的软件举行扫描。

3．限制用户装置和运行不需要软件应用程序的权限，并将最小特权原则应用到所有系统和服务中。这些权限限制有助于阻止恶意软件的运行或限制其通过网络撒播的能力。

4．扫描并删除可疑电子邮件附件。若是用户翻开恶意附件并启用宏，嵌入的代码将在机械上执行恶意软件。企业和组织应思量阻止可疑的含有附件的电子邮件。

5．若是不需要，请禁用 Microsoft 的文件和打印机共享服务。若是需要此项服务，请使用强密码或运动目录举行身份验证。

6．在组织事情站上启用小我私家防火墙，并将其设置为拒绝未经请求的毗连请求。

其他与隐藏眼镜蛇有关的恶意软件还包括：Destover和Wild Positron（也称Duuzer），以及具有重大功效的Hangman，如DDoS僵尸网络、键盘纪录器、RAT和硬盘擦除器。

尊龙凯时Venuseye威胁情报平台，在第一时间更新了相关的IOC。

尊龙凯时·(中国区)人生就是搏!

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

朝鲜APT组织两款新工具影响到我国

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线