美國計算機安全應急響應組：需警惕朝鮮黑客組織「隱藏眼鏡蛇」

近日，美國計算機安全應急響應組（CERT）發布了一條罕見的警戒通知（TA17-164A），內容有關一支朝鮮政府支持的黑客組織，名為「隱藏眼鏡蛇」（Hidden Cobra，商業公司報告將該黑客組織稱為Lazarus Group或Guardians of Peace）。

美國聯邦調查局（FBI）和國土安全局（DHS）聯合發布了一份報告，提供了「DeltaCharlie」的詳細信息，「DeltaCharlie」是「隱藏眼鏡蛇」黑客組織在全球範圍內發起DDoS殭屍網路攻擊所使用的惡意軟體。

報告指出，「隱藏眼鏡蛇」是朝鮮政府支持的黑客組織，曾參與18國的一系列銀行盜竊案，涉案金額多達幾十億美元。並且自2009年以來針對美國乃至全球的媒體、航空航天、金融和關鍵基礎設施行業進行網路攻擊。

雖然報告中，美國政府將該朝鮮黑客組織稱為「隱藏眼鏡蛇」（Hidden Cobra），但是此前的商業報告中習慣稱其為「Lazarus Group」以及「Guardians of Peace」——該組織據稱與導致全球醫院和企業淪陷的WannaCry勒索軟體有關。

DeltaCharlie - DDoS殭屍網路惡意軟體

這份技術報告中確定了與DeltaCharlie相關的IP地址（構成「隱藏眼鏡蛇」殭屍網路基礎設施的一部分），DHS和FBI認為，DeltaCharlie是該朝鮮黑客組織對其目標發動分布式拒絕服務（DDoS）攻擊時所使用的DDoS工具。

DeltaCharlie能夠對其目標啟動各種DDoS攻擊，包括域名系統（DNS）攻擊、網路時間協議（NTP）攻擊以及字元生成協議（CGP）攻擊等。

該殭屍網路惡意軟體能夠在受感染的系統上下載可執行文件，更新自己的二進位文件，實時更改自己的配置，終止其進程，以及激活和終止DDoS攻擊。

但是，需要說明的，DeltaCharlie DDoS惡意軟體並不是什麼剛發現的新型工具。它最初出現在安全分析公司Novetta 2016年發布的重磅炸彈行動（Operation Blockbuster）報告中。該報告將這種工具描述為繼DeltaAlpha和DeltaBravo之後，朝鮮黑客組織使用的第三個殭屍網路惡意軟體。

分析發現，「隱藏眼鏡蛇」組織使用的其他惡意軟體還包括Destover、Wild Positron或Duuzer以及功能複雜的Hangman，其功能包括DDoS殭屍網路、鍵盤記錄器、遠程訪問工具（RAT）以及數據清理惡意軟體等。

「隱藏眼鏡蛇」最喜歡的漏洞

自2009年以來，「隱藏眼鏡蛇」攻擊的對象通常都是運行舊版本（不受Microsoft官方補丁支持）的操作系統，或是利用Adobe Flash Player軟體漏洞作為入侵受害者設備的切入口。

以下就是「隱藏眼鏡蛇」組織喜歡用於影響各種應用程序的已知漏洞：

CVE-2015-6585：韓語文字處理器漏洞CVE-2015-8651: Microsoft Silverlight漏洞CVE-2016-0034: Adobe Flash Player 18.0.0.324 和19.x 漏洞CVE-2016-1019: Adobe Flash Player 21.0.0.197漏洞CVE-2016-4117: Adobe Flash Player 21.0.0.226 漏洞

報告還指出，防禦這種攻擊最簡單的方法就是始終保持最新的操作系統，安裝最新版本的軟體和應用程序，以及為你的網路資產設置防火牆進行保護。

由於Adobe Flash Player自身的安全漏洞很容易誘發各種攻擊，所以如果不需要Adobe Flash或Microsoft Silverlight的話，建議將其從系統中刪除或及時進行更新處理。

聯邦調查局和國土安全局還在報告中提供了多個攻擊指示器（IOC）、惡意軟體描述、網路籤名以及基於主機的規則（YARA 規則）等相關信息，旨在幫助網路防禦者檢測這支朝鮮黑客組織所進行的活動。

警報通知寫道，

如果用戶或管理員檢測到任何疑似『隱藏眼鏡蛇』組織所使用的自定義工具，則應立即將這些工具進行標註，並向DHS國家網路安全通信和集成中心（NCCIC）或聯邦調查局網路監視部（CyWatch）進行報告。

此外，DHS和FBI還在報告中為用戶和網路管理員提供了一系列緩解措施，詳細信息可以點擊報告進行查閱。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！