当前位置:首页 > 信息公开 > 正文内容

美国政府揭露APT38新型后门恶意软件,可自动消除入侵痕迹

xmd52年前 (2020-08-20)信息公开7318900

美国政府机构今日发布一份恶意软件分析报告,揭露了朝鲜黑客攻击政府承包商过程中使用的远程访问木马恶意软件。该恶意软件由美国CISA和FBI发现,被称为BLINDINGCAN。

CISAO和FBI认为该木马源自朝鲜政府支持的黑客组织HIDDEN COBRA(又名Lazarus或APT38)。

恶意软件可消除入侵痕迹

根据发布的报告,RAT具有“远程操作内置功能,攻击者可在目标系统进行更多其他操作。”

“CISA收到了四份Microsoft Word开放可扩展标记语言(XML)文档(.docx),两个动态链接库(DLL),.docx文件尝试连接到外部域进行下载。提交了32位和64位DLL,分别安装了名为'iconcache.db'的32位和64位DLL。iconcache.db'解压缩并执行Hidden Cobra RAT的变体。”

BLINDINGCAN 恶意软件还可以自己清除感染系统中的入侵痕迹,避免被检测到以下一些功能:

检索所有已安装磁盘的相关信息,包括磁盘类型和磁盘上的可用空间量;

创建、启动和终止新进程及其主线程;

搜索、读取、写入、移动和执行文件;

获取和修改文件或目录的时间戳记;

更改进程或文件的当前目录;

从受感染的系统中删除恶意软件和与恶意软件相关的工件。

该报告披露了通过逆向工程获取的详细恶意软件信息,美国政府明确指明此次恶意活动由朝鲜政府发起,意图帮助防御该组织恶意软件的攻击活动。

今年5月,已经披露了超过三种的朝鲜相关的恶意软件变体,其中包含远程访问工具比如COPPERHEDGE,用于攻击加密货币交易所。另外两种木马,分别被称为称为TAINTEDSCRIBE和PEBBLEDASH。

美国政府还发布了六则安全公告,其中涵盖二月中旬披露的朝鲜恶意软件信息:

BISTROMATH(功能齐全的RAT),

SLICKSHOES(装有Themida的恶意软件删除程序),

CROWDEDFLOUNDER(远程访问木马加载程序),

HOTCROISSANT(具有后门功能的信标植入程序),

ARTFULPIE(可从硬编码的网址加载并执行DLL的恶意软件)

BUFFETLINE(带有后门功能的信标植入程序)。

在2017年和2018年,朝鲜黑客组织发起的加密货币抢劫案造成了5.71亿美元的经济损失。

2019年,CISA和FBI发布窃取数据的ELECTRICFISH恶意软件信息以及掩盖恶意流量的HOPLIGHT木马详细信息。同年9月,美国财政部签署三项DPRK黑客组织支持团伙(Lazarus, Bluenoroff和Andariel)制裁文件

2020年4月,美国政府发布公告,以500万美元悬赏DPRK黑客团伙的活动信息,包含历史和当前的活动行迹,这一悬赏有助于阻止朝鲜黑客活动并定位查找黑客所在地。更多关于HIDDEN COBRA信息可参考美国国家网络安全部门发布的预警公告

本文标题:美国政府揭露APT38新型后门恶意软件,可自动消除入侵痕迹
本文链接:https://xmd5.pw/2020/08/68/
作者授权:除特别说明外,本文由 xmd5 原创编译并授权 中国黑色幽灵小组官网 刊载发布。
版权声明:本文不使用任何协议授权,您可以任何形式自由转载或使用。

扫描二维码推送至手机访问。

版权声明:本文由中国黑色幽灵小组官网发布,如需转载请注明出处。

本文链接:https://xmd5.pw/2020/08/68/

相关文章

新型DDos攻击:利用LDAP服务器实现攻击放大

新型DDos攻击:利用LDAP服务器实现攻击放大

说到网络安全,你一定会想起前不久的DDoS攻击“Mirai”,导致美国半数的互联网瘫痪,你一定会觉得那很牛掰吧,但其实这并不算什么,要让DDoS攻击力更彪悍,现在有一种新方法了。LDAP据Corero...

人大刚刚通过的《网络安全法》都有哪些看点?

人大刚刚通过的《网络安全法》都有哪些看点?

现在网络违法犯罪活动日渐频繁,网络作为一个犯罪空间开始出现一些完全不同于传统的犯罪现象,它成为了一些变异后犯罪行为独有的温床和土壤。而此前,我国法律对于网络犯罪刑法规制主要分散在全国人大常委会、国务院...

德国电信遭黑客攻击:90万路由器下线 大量用户无法访问互联网

德国电信遭黑客攻击:90万路由器下线 大量用户无法访问互联网

德国电信近日遭遇网络攻击,超90万路由器无法联网,德国电信方面已经确认了此事。断网事故始于当地时间11月27日(周日)17:00左右,持续数个小时。周一上午08:00,再次出现断网问题。除了联网服务外...

年末了,盘点2016年最严重的7起DDoS攻击事件

年末了,盘点2016年最严重的7起DDoS攻击事件

随着黑客技术的不断发展,人们越来越难以区分真实世界和恐怖电影之间的区别, 2016年的DDoS攻击事件更是加深了人们的这种感觉。你相信么?事实上,我们的真实生活可能比好莱坞的恐怖电影更加可怕!当你家的...

乌克兰再次发生大规模停电事故,疑似遭遇黑客攻击 !

乌克兰再次发生大规模停电事故,疑似遭遇黑客攻击 !

据乌克兰能源公司UKrenergo消息,上周六半夜,乌克兰首都基辅北部及周边地区发生断电,电力公司专家采用人工操作,30分钟后开始逐渐恢复供电,75分钟后已全面恢复。UKrenergo公司主管Vsev...

Anonymous攻陷暗网服务提供商Freedom Hosting II,约1/5暗网网站下线

Anonymous攻陷暗网服务提供商Freedom Hosting II,约1/5暗网网站下线

Freedom Hosting II(以下简称FH II)是现今最大的暗网服务提供商之一。据Mascherari.press的安全专家Sarah Jamie Lewis估算,FH II约为15%-20...

2016年中国网络安全大事件

2016年中国网络安全大事件

中国互联网基金会设立网络安全专项基金并表彰首批优秀人才2月2日,中国互联网发展基金会网络安全专项基金宣告正式成立。该基金设立“网络安全人才奖”、“网络安全优秀教师奖”等奖项,以奖励为国家网络安全事业做...

微信仓促更新,黑产加速圈钱,“微信号”黑市规模接近40亿

微信仓促更新,黑产加速圈钱,“微信号”黑市规模接近40亿

    在这次微信的更新中,长按公众号文章会出现“未完成的功能”字样,此次改版在还“未完成”状态仓促上马,说明张小龙背负着越来越重的商业变现压力。讽刺的是,就在张小龙眼皮底下,有那...

维基解密创始人阿桑奇被捕:世界将再次失去一名说真话的男人

维基解密创始人阿桑奇被捕:世界将再次失去一名说真话的男人

世界将再次失去一名说真话的男人。据BBC网站报道,维基解密(Wikileaks)联合创始人朱利安·阿桑奇(Julian Assange)在厄瓜多尔驻伦敦大使馆被捕。维基解密(WikiLeaks),是通...

黑客泄露APT 34组织工具、成员信息,扬言更多秘密将持续曝光

黑客泄露APT 34组织工具、成员信息,扬言更多秘密将持续曝光

网络安全世界,黑吃黑的情况并不少见。2017年,Shadow Brokers入侵了美国NSA下属黑客组织Equation Group,下载了大量工具在网上售卖,永恒之蓝工具包就是其中之一,这也直接导致...