美国CERT与国土安全部(DHS)和联邦调查局(FBI)联合发布了一项新警报,警告朝鲜政府正在使用APT组织Hidden Cobra(也被称为Lazarus Group)的两种恶意软件。
Hidden Cobra(也被称为Lazarus Group)发起过针对索尼、孟加拉中央银行和各种金融机构的攻击,包括WannaCry 勒索攻击。在过去的一年里, 国土安全部和联邦调查局发布的几项Hidden Cobra工具警报,包括:Sharpknot、Hardrain、Badcall、Bankshot、Fallchil、Volgmer 和Delta Charlie。
使用的两件恶意软件是:远程访问木马(RAT)Joanap和SMB蠕虫Brambul。
根据可靠报道,Hidden Cobra至少从2009年起就可能同时使用Joanap和Brambul恶意软件,将全球和美国的多个受害者作为目标—— 包括媒体,航空航天,金融和关键基础设施部门。
美国政府已经在包括中国,西班牙,瑞典,印度,巴西和伊朗等17个国家的87个受损网络节点上找到了Joanap。
Joanap恶意软件是一个功能齐全的RAT,能够接收多个命令,这些命令可以由Hidden Cobra通过命令和控制服务器远程发布。
当用户访问Hidden Cobra定制的网站或打开恶意电子邮件附件时,它们会不知不觉地下载相关恶意软件。Joanap可以秘密地在被感染的网络内横向移动到任何连接的节点。
Brambul恶意软件是一种通过SMB共享传播的强力蠕虫。 SMB支持网络用户之间的文件共享访问,通常通过使用硬编码登录凭证列表进行传播,以针对访问受害者网络的SMB协议发起暴力密码攻击。
US-CERT敦促通过以下方式降低这些攻击带来的风险:保持系统、修补程序和最新杀软保持同步,应用最小权限策略,扫描和阻止可疑电子邮件附件,禁用Microsoft的文件和打印机共享服务、配置个人工作站防火墙来拒绝未经请求的连接请求等等。
参考:
https://www.infosecurity-magazine.com/news/us-government-warns-north-korean/
http://www.darkreading.com/cloud/over-5k-gas-station-tank-gauges-sit-exposed-on-the-public-net-/d/d-id/1331920
声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
