首页 > 安全研究 > 安全通报 > 安全通告

朝鲜APT组织两款新工具影响到我国

发布时间 2018-06-04

概述


美国CERT与国土安全部(DHS)和联邦调查局(FBI)联合发布了一项新警报,警告朝鲜政府正在使用APT组织Hidden Cobra(也被称为Lazarus Group)的两种恶意软件。

 

Hidden Cobra(也被称为Lazarus Group)发起过针对索尼、孟加拉中央银行和各种金融机构的攻击,包括WannaCry 勒索攻击。在过去的一年里, 国土安全部和联邦调查局发布的几项Hidden Cobra工具警报,包括:Sharpknot、Hardrain、Badcall、Bankshot、Fallchil、Volgmer 和Delta Charlie。


使用的两件恶意软件是:远程访问木马(RAT)Joanap和SMB蠕虫Brambul。


根据可靠报道,Hidden Cobra至少从2009年起就可能同时使用Joanap和Brambul恶意软件,将全球和美国的多个受害者作为目标—— 包括媒体,航空航天,金融和关键基础设施部门,美国政府已经在包括中国,西班牙,瑞典,印度,巴西和伊朗等17个国家的87个受损网络节点上找到了Joanap。


对隐藏眼镜蛇黑客组织(Hidden Cobra)所使用的远程访问工具 Joanap 后门木马和恶意的 Windows 32位服务器消息块(SMB)蠕虫进行了分析。


远程访问工具——Joanap


Joanap 是一款两阶段的恶意软件,可用于建立点对点通信和管理旨在启用其他操作的僵尸网络。该恶意软件为隐藏眼镜蛇提供了在被感染的 Windows 设备上泄露数据、删除和运行辅助有效负载、初始化代理通信的能力。该软件的其他功能还包括:文件管理、进程管理、创建和删除目录和节点管理。


分析表明,Joanap 恶意软件使用 Rivest Cipher 4 加密来保护及隐藏与隐藏眼镜蛇黑客组织之间的通信。一旦安装完毕,这个恶意软件会在名为 mssscardprv.ax. 文件的 Windows 系统目录中创建一个日志条目。隐藏眼镜蛇黑客组织使用此文件来捕获和存储受害者的信息,如主机的 IP 地址、主机名称和当前系统时间等。


SMB蠕虫——Brambul


Brambul 恶意软件是一种恶意的 Windows 32位服务器消息块(SMB)蠕虫,其功能是作为一个服务动态链接库文件或一个可移植的可执行文件,经常由 dropper 恶意软件下载并安装到受害者的网络中。执行时,恶意软件会尝试与受害者系统和受害者本地子网上的 IP 地址建立联系。一旦成功,黑客将通过使用嵌入的密码列表来启动暴力密码攻击,应用程序会试图通过 SMB 协议(端口139和445)获得未经授权的访问。此外,恶意软件会为随后的攻击生成随机的 IP 地址。


分析者怀疑恶意软件针对不安全或无安全保障用户账户进行攻击,并通过安全性较差的网络共享进行传播。一旦恶意软件在受害者的系统上建立了未经授权的访问,它会通过恶意的电子邮件地址将受害者系统的信息传递给隐藏眼镜蛇黑客组织。这些信息包括每个受害者系统的 IP 地址、主机名、用户名和密码。隐藏眼镜蛇黑客组织利用这些信息,通过 SMB 协议,远程访问被感染的系统。


研究人员对 Brambul 恶意软件的一个新变种进行了分析,确定了该恶意软件具有的功能包括:收集系统信息、接收命令行参数、生成并执行自毁脚本、通过 SMB 在网络上传播、强制 SMB 登录凭证以及生成包含了目标主机系统信息的简单的邮件传输协议电子邮件信息。


此次 DHS 和 FBI 联合警报表示,FBI 认为隐藏眼镜蛇正在使用被列在本报告中的攻击指示器(IOC)文件中的IP地址,以维持其在受害者网络中的存在并对网络进行开发。   DHS 和 FBI 正在分发这些 IP 地址和其他攻击指示器(IOC),以加强网络防御。


IOC发布地址:https://www.us-cert.gov/ncas/alerts/TA18-149A


缓解策略


针对这两种形式的恶意软件攻击,警报给出了缓解策略。DHS 建议用户和管理员使用以下最佳实践作为预防措施来保护其计算机网络:


1.保持所运行的系统和软件更新是最新版本。大多数的攻击针对有缺陷的应用或操作系统。使用最新更新进行修补可大大减少攻击者可利用的突破口数量。

2.保持防病毒软件维持在最新版本,在执行前,对从网上下载的软件进行扫描。


3.限制用户安装和运行不需要软件应用程序的权限,并将最小特权原则应用到所有系统和服务中。这些权限限制有助于阻止恶意软件的运行或限制其通过网络传播的能力。


4.扫描并删除可疑电子邮件附件。如果用户打开恶意附件并启用宏,嵌入的代码将在机器上执行恶意软件。企业和组织应考虑阻止可疑的含有附件的电子邮件。


5.如果不需要,请禁用 Microsoft 的文件和打印机共享服务。如果需要此项服务,请使用强密码或活动目录进行身份验证。


6.在组织工作站上启用个人防火墙,并将其配置为拒绝未经请求的连接请求。


其他与隐藏眼镜蛇有关的恶意软件还包括:Destover和Wild Positron(也称Duuzer),以及具有复杂功能的Hangman,如DDoS僵尸网络、键盘记录器、RAT和硬盘擦除器。

 

启明星辰Venuseye威胁情报平台,在第一时间更新了相关的IOC。

 


上一篇 下一篇