首次披露朝鲜国家黑客的七种武器

五角大楼、联邦调查局和国土安全部披露了朝鲜的黑客行动，并首次向公共恶意软件库提供了该活动中使用的七种恶意软件的技术细节。

五角大楼美国网络司令部的一个分支——美国网络国家任务部队(Cyber National Mission Force，简称CNMF)在Twitter上发文指出：

(DHS)网络安全和基础设施安全局(IEA)的陪同顾问说，攻击活动来自Hidden Cobra——一个朝鲜政府赞助的黑客组织。该组织更广为人知的代号来自安全公司的安全研究人员的命名，包括Lazarus和Zinc。上周五，
 

• 齐全的远程访问木马和植入程序，可以执行系统调查、文件上载和下载、处理和命令执行以及对麦克风、剪贴板和屏幕的监视。
• Slickshoes是一种“dropper”，可以加载但实际上不执行，属于一种“信标植入物”(Beaconing implant)，可以实现Bistromath的很多功能。
• Hotcroissant，一种功能齐全的信标植入物，可以完成上面列出的许多操作(例如文件传输和屏幕抓取)。
• Artfulpie，一种从硬编码的URL执行DLL文件的下载以及在内存中加载载荷和执行的植入物。
• Buttetline，另一种功能完备的植入物，但是它使用了伪造的HTTPS和经过修改的RC4加密密码，以保持隐身状态。
• Crowdedflounder，一个Windows可执行文件，旨在将Remote Access Trojan解压缩并执行到计算机内存中。

据Cyberscoop报道，一位查看过恶意软件分析报告的人士指出，这些恶意软件中许多都是典型的远程访问木马(RAT)，例如Slickshoes具有RAT的许多常见功能，如反向外壳、屏幕捕获、文件盗窃和文件创建。其中有些恶意软件的时间戳可以追溯到2016年，但有些则是最新创建，例如Hotcroissant的编译时间戳为去年7月，Artfulpie的编译时间戳是去年6月。

公开的恶意软件中，至少有一个与在印度活动的朝鲜黑客组织有关，该组织与DTrack恶意软件以及印度核电站攻击和ATM盗窃有关。

过去，美国网络司令部通常不会在公开文件中注明恶意软件的功能，但是从2019年下半年开始，网络司令部的做法开始改变，包括此次公布的六个恶意软件都提供了包括功能在内的详细信息。

（编辑：广元站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!