search
美國計算機安全應急響應組提醒 需警惕朝鮮黑客組織「隱藏眼鏡蛇」

美國計算機安全應急響應組提醒 需警惕朝鮮黑客組織「隱藏眼鏡蛇」

近日,美國計算機安全應急響應組(CERT)發布了一條罕見的警戒通知(TA17-164A),內容有關一支朝鮮政府支持的黑客組織,名為「隱藏眼鏡蛇」(Hidden Cobra,商業公司報告將該黑客組織稱為Lazarus Group或Guardians of Peace)。

美國聯邦調查局(FBI)和國土安全局(DHS)聯合發布了一份報告,提供了「DeltaCharlie」的詳細信息,「DeltaCharlie」是「隱藏眼鏡蛇」黑客組織在全球範圍內發起DDoS殭屍網路攻擊所使用的惡意軟體。

報告指出,「隱藏眼鏡蛇」是朝鮮政府支持的黑客組織,曾參與18國的一系列銀行盜竊案,涉案金額多達幾十億美元。並且自2009年以來針對美國乃至全球的媒體、航空航天、金融和關鍵基礎設施行業進行網路攻擊。

雖然報告中,美國政府將該朝鮮黑客組織稱為「隱藏眼鏡蛇」(Hidden Cobra),但是此前的商業報告中習慣稱其為「Lazarus Group」以及「Guardians of Peace」——該組織據稱與導致全球醫院和企業淪陷的WannaCry勒索軟體有關。

DeltaCharlie – DDoS殭屍網路惡意軟體

這份技術報告中確定了與DeltaCharlie相關的IP地址(構成「隱藏眼鏡蛇」殭屍網路基礎設施的一部分),DHS和FBI認為,DeltaCharlie是該朝鮮黑客組織對其目標發動分散式拒絕服務(DDoS)攻擊時所使用的DDoS工具。

DeltaCharlie能夠對其目標啟動各種DDoS攻擊,包括域名系統(DNS)攻擊、網路時間協議(NTP)攻擊以及字元生成協議(CGP)攻擊等。

該殭屍網路惡意軟體能夠在受感染的系統上下載可執行文件,更新自己的二進位文件,實時更改自己的配置,終止其進程,以及激活和終止DDoS攻擊。

但是,需要說明的,DeltaCharlie DDoS惡意軟體並不是什麼剛發現的新型工具。它最初出現在安全分析公司Novetta 2016年發布的重磅炸彈行動(Operation Blockbuster)報告中。該報告將這種工具描述為繼DeltaAlpha和DeltaBravo之後,朝鮮黑客組織使用的第三個殭屍網路惡意軟體。

分析發現,「隱藏眼鏡蛇」組織使用的其他惡意軟體還包括Destover、Wild Positron或Duuzer以及功能複雜的Hangman,其功能包括DDoS殭屍網路、鍵盤記錄器、遠程訪問工具(RAT)以及數據清理惡意軟體等。

「隱藏眼鏡蛇」最喜歡的漏洞

自2009年以來,「隱藏眼鏡蛇」攻擊的對象通常都是運行舊版本(不受Microsoft官方補丁支持)的操作系統,或是利用Adobe Flash Player軟體漏洞作為入侵受害者設備的切入口。

以下就是「隱藏眼鏡蛇」組織喜歡用於影響各種應用程序的已知漏洞:

CVE-2015-6585:韓語文字處理器漏洞 CVE-2015-8651: Microsoft Silverlight漏洞 CVE-2016-0034: Adobe Flash Player 18.0.0.324 和19.x 漏洞 CVE-2016-1019: Adobe Flash Player 21.0.0.197漏洞 CVE-2016-4117: Adobe Flash Player 21.0.0.226 漏洞

報告還指出,防禦這種攻擊最簡單的方法就是始終保持最新的操作系統,安裝最新版本的軟體和應用程序,以及為你的網路資產設置防火牆進行保護。

由於Adobe Flash Player自身的安全漏洞很容易誘發各種攻擊,所以如果不需要Adobe Flash或Microsoft Silverlight的話,建議將其從系統中刪除或及時進行更新處理。

聯邦調查局和國土安全局還在報告中提供了多個攻擊指示器(IOC)、惡意軟體描述、網路籤名以及基於主機的規則(YARA 規則)等相關信息,旨在幫助網路防禦者檢測這支朝鮮黑客組織所進行的活動。

警報通知寫道,

如果用戶或管理員檢測到任何疑似『隱藏眼鏡蛇』組織所使用的自定義工具,則應立即將這些工具進行標註,並向DHS國家網路安全通信和集成中心(NCCIC)或聯邦調查局網路監視部(CyWatch)進行報告。

此外,DHS和FBI還在報告中為用戶和網路管理員提供了一系列緩解措施,詳細信息可以點擊報告進行查閱。

如若轉載,請註明來源於嘶吼: http://www.4hou.com/info/news/5477.html

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23299次喜歡
留言回覆
回覆
精彩推薦