首页 > 清静研究 > 清静转达 > 清静通告

朝鲜APT组织两款新工具影响到我国

宣布时间 2018-06-04

概述

美国CERT与领土清静部（DHS）和联邦视察局（FBI）联合宣布了一项新警报，，忠言朝鲜政府正在使用APT组织Hidden Cobra（也被称为Lazarus Group）的两种恶意软件。。

Hidden Cobra（也被称为Lazarus Group）提倡过针对索尼、孟加拉中央银行和种种金融机构的攻击，，包括WannaCry 勒索攻击。。在已往的一年里, 领土清静部和联邦视察局宣布的几项Hidden Cobra工具警报,包括：Sharpknot、Hardrain、Badcall、Bankshot、Fallchil、Volgmer 和Delta Charlie。。

使用的两件恶意软件是：远程会见木马（RAT）Joanap和SMB蠕虫Brambul。。

凭证可靠报道，，Hidden Cobra至少从2009年起就可能同时使用Joanap和Brambul恶意软件，，将全球和美国的多个受害者作为目的—— 包括媒体，，航空航天，，金融和要害基础设施部分，，美国政府已经在包括中国，，西班牙，，瑞典，，印度，，巴西和伊朗等17个国家的87个受损网络节点上找到了Joanap。。

对隐藏眼镜蛇黑客组织（Hidden Cobra）所使用的远程会见工具 Joanap 后门木马和恶意的 Windows 32位效劳器新闻块（SMB）蠕虫举行了剖析。。

远程会见工具——Joanap

Joanap 是一款两阶段的恶意软件，，可用于建设点对点通讯和治理旨在启用其他操作的僵尸网络。。该恶意软件为隐藏眼镜蛇提供了在被熏染的 Windows 装备上泄露数据、删除和运行辅助有用负载、初始化署理通讯的能力。。该软件的其他功效还包括：文件治理、历程治理、建设和删除目录和节点治理。。

剖析批注，，Joanap 恶意软件使用 Rivest Cipher 4 加密来�；；；；；；ぜ耙赜胍匮劬瞪吆诳妥橹涞耐ㄑ�。。一旦装置完毕，，这个恶意软件会在名为 mssscardprv.ax. 文件的 Windows 系统目录中建设一个日志条目。。隐藏眼镜蛇黑客组织使用此文件来捕获和存储受害者的信息，，如主机的 IP 地点、主机名称和目今系统时间等。。

SMB蠕虫——Brambul

Brambul 恶意软件是一种恶意的 Windows 32位效劳器新闻块（SMB）蠕虫，，其功效是作为一个效劳动态链接库文件或一个可移植的可执行文件，，经常由 dropper 恶意软件下载并装置到受害者的网络中。。执行时，，恶意软件会实验与受害者系统和受害者外地子网上的 IP 地点建设联系。。一旦乐成，，黑客将通过使用嵌入的密码列表来启动暴力密码攻击，，应用程序会试图通过 SMB 协议(端口139和445)获得未经授权的会见。。别的，，恶意软件会为随后的攻击天生随机的 IP 地点。。

剖析者嫌疑恶意软件针对不清静或无清静包管用户账户举行攻击，，并通过清静性较差的网络共享举行撒播。。一旦恶意软件在受害者的系统上建设了未经授权的会见，，它会通过恶意的电子邮件地点将受害者系统的信息转达给隐藏眼镜蛇黑客组织。。这些信息包括每个受害者系统的 IP 地点、主机名、用户名和密码。。隐藏眼镜蛇黑客组织使用这些信息，，通过 SMB 协议，，远程会见被熏染的系统。。

研究职员对 Brambul 恶意软件的一个新变种举行了剖析，，确定了该恶意软件具有的功效包括：网络系统信息、吸收下令行参数、天生并执行自毁剧本、通过 SMB 在网络上撒播、强制 SMB 登录凭证以及天生包括了目的主机系统信息的简朴的邮件传输协议电子邮件信息。。

此次 DHS 和 FBI 联合警报体现，，FBI 以为隐藏眼镜蛇正在使用被列在本报告中的攻击指示器（IOC）文件中的IP地点，，以维持其在受害者网络中的保存并对网络举行开发。。 DHS 和 FBI 正在分发这些 IP 地点和其他攻击指示器（IOC），，以增强网络防御。。

IOC宣布地点：https://www.us-cert.gov/ncas/alerts/TA18-149A

缓解战略

针对这两种形式的恶意软件攻击，，警报给出了缓解战略。。DHS 建议用户和治理员使用以下最佳实践作为预防步伐来�；；；；；；て渑趟慊纾�

1．坚持所运行的系统和软件更新是最新版本。。大大都的攻击针对有缺陷的应用或操作系统。。使用最新更新举行修补可大大镌汰攻击者可使用的突破口数目。。

2．坚持防病毒软件维持在最新版本，，在执行前，，对从网上下载的软件举行扫描。。

3．限制用户装置和运行不需要软件应用程序的权限，，并将最小特权原则应用到所有系统和效劳中。。这些权限限制有助于阻止恶意软件的运行或限制其通过网络撒播的能力。。

4．扫描并删除可疑电子邮件附件。。若是用户翻开恶意附件并启用宏，，嵌入的代码将在机械上执行恶意软件。。企业和组织应思量阻止可疑的含有附件的电子邮件。。

5．若是不需要，，请禁用 Microsoft 的文件和打印机共享效劳。。若是需要此项效劳，，请使用强密码或活动目录举行身份验证。。

6．在组织事情站上启用小我私家防火墙，，并将其设置为拒绝未经请求的毗连请求。。

其他与隐藏眼镜蛇有关的恶意软件还包括：Destover和Wild Positron（也称Duuzer），，以及具有重大功效的Hangman，，如DDoS僵尸网络、键盘纪录器、RAT和硬盘擦除器。。

人生就是博Venuseye威胁情报平台，，在第一时间更新了相关的IOC。。

人生就是博-尊龙凯时中国官网

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

朝鲜APT组织两款新工具影响到我国

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线