上周五美國五角大樓、聯(lián)邦調(diào)查局和國土安全部披露了朝鮮的黑客行動(dòng)���,并首次向公共惡意軟件庫提供了該活動(dòng)中使用的七種惡意軟件的技術(shù)細(xì)節(jié)�����。
成都創(chuàng)新互聯(lián)公司堅(jiān)信:善待客戶���,將會(huì)成為終身客戶。我們能堅(jiān)持多年����,是因?yàn)槲覀円恢笨芍档眯刨嚒N覀儚牟缓鲇瞥踉L客戶����,我們用心做好本職工作,不忘初心�����,方得始終。10余年網(wǎng)站建設(shè)經(jīng)驗(yàn)成都創(chuàng)新互聯(lián)公司是成都老牌網(wǎng)站營銷服務(wù)商,為您提供成都網(wǎng)站設(shè)計(jì)�����、做網(wǎng)站���、成都外貿(mào)網(wǎng)站建設(shè)公司、網(wǎng)站設(shè)計(jì)��、H5場景定制�����、網(wǎng)站制作���、品牌網(wǎng)站建設(shè)�、小程序設(shè)計(jì)服務(wù),給眾多知名企業(yè)提供過好品質(zhì)的建站服務(wù)�。
五角大樓美國網(wǎng)絡(luò)司令部的一個(gè)分支——美國網(wǎng)絡(luò)國家任務(wù)部隊(duì)(Cyber National Mission Force,簡稱CNMF)在Twitter上發(fā)文指出:
| 該惡意軟件目前被(朝鮮政府)網(wǎng)絡(luò)攻擊者用于網(wǎng)絡(luò)釣魚和遠(yuǎn)程訪問�,以進(jìn)行非法活動(dòng),竊取資金和逃避制裁�。該推文鏈接到惡意軟件庫VirusTotal上的帖子,該帖子提供了密碼哈希���、文件名和其他技術(shù)詳細(xì)信息�,可幫助防御者識(shí)別他們所保護(hù)的網(wǎng)絡(luò)內(nèi)的威脅。 |
美國國土安全部(DHS)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(IEA)的陪同顧問說���,攻擊活動(dòng)來自Hidden Cobra——一個(gè)朝鮮政府贊助的黑客組織�����。該組織更廣為人知的代號(hào)來自安全公司的安全研究人員的命名����,包括Lazarus和Zinc�。上周五,七個(gè)惡意軟件家族中的六個(gè)被上傳到VirusTotal����。其中包括:
- Bistromath,功能齊全的遠(yuǎn)程訪問木馬和植入程序���,可以執(zhí)行系統(tǒng)調(diào)查�、文件上載和下載���、處理和命令執(zhí)行以及對(duì)麥克風(fēng)�����、剪貼板和屏幕的監(jiān)視�����。
- Slickshoes是一種“dropper”�����,可以加載但實(shí)際上不執(zhí)行�,屬于一種“信標(biāo)植入物”(Beaconing implant)����,可以實(shí)現(xiàn)Bistromath的很多功能。
- Hotcroissant�����,一種功能齊全的信標(biāo)植入物�����,可以完成上面列出的許多操作(例如文件傳輸和屏幕抓取)����。
- Artfulpie����,一種從硬編碼的URL執(zhí)行DLL文件的下載以及在內(nèi)存中加載載荷和執(zhí)行的植入物�����。
- Buttetline�����,另一種功能完備的植入物���,但是它使用了偽造的HTTPS和經(jīng)過修改的RC4加密密碼����,以保持隱身狀態(tài)�。
- Crowdedflounder,一個(gè)Windows可執(zhí)行文件����,旨在將Remote Access Trojan解壓縮并執(zhí)行到計(jì)算機(jī)內(nèi)存中。
據(jù)Cyberscoop報(bào)道����,一位查看過惡意軟件分析報(bào)告的人士指出�,這些惡意軟件中許多都是典型的遠(yuǎn)程訪問木馬(RAT)����,例如Slickshoes具有RAT的許多常見功能,如反向外殼����、屏幕捕獲、文件盜竊和文件創(chuàng)建��。其中有些惡意軟件的時(shí)間戳可以追溯到2016年���,但有些則是最新創(chuàng)建,例如Hotcroissant的編譯時(shí)間戳為去年7月�����,Artfulpie的編譯時(shí)間戳是去年6月�。
公開的惡意軟件中,至少有一個(gè)與在印度活動(dòng)的朝鮮黑客組織有關(guān)���,該組織與DTrack惡意軟件以及印度核電站攻擊和ATM盜竊有關(guān)��。
過去�,美國網(wǎng)絡(luò)司令部通常不會(huì)在公開文件中注明惡意軟件的功能,但是從2019年下半年開始�,網(wǎng)絡(luò)司令部的做法開始改變,包括此次公布的六個(gè)惡意軟件都提供了包括功能在內(nèi)的詳細(xì)信息����。
首次公開披露國家黑客行動(dòng)
美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CSA)在周五的咨文中,還提供了先前披露的Hoplight的詳細(xì)信息�。Hoplight是20個(gè)文件的家族,是一種能夠收集受害者操作系統(tǒng)信息的特洛伊木馬����。這些惡意軟件均未包含偽造的數(shù)字簽名,屬于更高級(jí)黑客操作的標(biāo)準(zhǔn)技術(shù)��,可以更輕松地繞過端點(diǎn)安全保護(hù)�。Hoplight之前已經(jīng)被FBI和DHS暴露。網(wǎng)絡(luò)司令部還在去年9月公開了與Hoplight相關(guān)的活動(dòng)���。
卡巴斯基實(shí)驗(yàn)室全球研究與分析團(tuán)隊(duì)負(fù)責(zé)人Costin Raiu在推特上發(fā)布了一張圖片���,將周五公布的信息與卡巴斯基在其他Lazarus活動(dòng)中發(fā)現(xiàn)的惡意軟件樣本進(jìn)行了關(guān)聯(lián)分析:
上周五的聯(lián)合咨文代表著美國政府的一種新做法——公開確認(rèn)并披露外國黑客及其所開展的活動(dòng)信息。以前�,美國政府官員大多避免將特定的黑客活動(dòng)歸因于特定的政府�����。2014年���,當(dāng)聯(lián)邦調(diào)查局公開得出結(jié)論稱,朝鮮政府是一年前對(duì)索尼影視公司進(jìn)行的具有高度破壞性的黑客攻擊之后��,這種方法開始發(fā)生變化��。
2018年��,美國司法部起訴了一名朝鮮特工���,稱其實(shí)施了Sony黑客攻擊并釋放了殃及全球的WannaCry勒索軟件蠕蟲�����,該蠕蟲在2017年搞癱了全球150多個(gè)國家30多萬用戶的計(jì)算機(jī)。去年�,美國財(cái)政部制裁了三個(gè)韓國黑客組織,這些組織被指控針對(duì)關(guān)鍵基礎(chǔ)設(shè)施攻擊����,并在加密貨幣交易所竊取了數(shù)百萬美元���。
正如Cyberscoop指出的那樣,上周五的通告標(biāo)志著美國網(wǎng)絡(luò)司令部首次公開確認(rèn)了朝鮮的黑客行動(dòng)����,其原因之一是:盡管朝鮮政府黑客使用的惡意軟件和技術(shù)通常不如其他國家黑客,但攻擊的復(fù)雜性卻越來越高�����。包括路透社在內(nèi)的新聞機(jī)構(gòu)引用了去年八月的聯(lián)合國報(bào)告估計(jì)����,朝鮮對(duì)銀行和加密貨幣交易所的黑客入侵為該國的大規(guī)模毀滅性武器計(jì)劃獲取了20億美元的資金。
參考資料:
- 美國政府和盤托出朝鮮黑客的惡意軟件信息:https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/
- 聯(lián)合國報(bào)告《朝鮮通過網(wǎng)絡(luò)攻擊獲取20億美元資助其武器計(jì)劃》:https://www.reuters.com/article/us-northkorea-cyber-un/north-korea-took-2-billion-in-cyberattacks-to-fund-weapons-program-u-n-report-idUSKCN1UV1ZX
戳這里�����,看該作者更多好文
新聞名稱:美國首次披露朝鮮國家黑客的七種武器
文章源于:
http://uogjgqi.cn/article/cdecsec.html
