FBI对两个与隐藏的眼镜蛇黑客有关的新恶意软件发出警报

隐藏眼镜蛇，通常被称为拉扎勒斯集团和和平卫士，据信得到了朝鲜政府的支持，并已知对世界各地的媒体组织、航空航天、金融和关键基础设施部门发起攻击。

该组织甚至与去年关闭全球医院和企业的WannaCry勒索软件威胁有关。据报道，它还与2014年索尼影业的黑客攻击以及2016年的SWIFT银行攻击有关。

现在，国土安全部（DHS）和联邦调查局（FBI）发现了两个新的恶意软件，隐藏眼镜蛇（Hidden Cobra）至少自2009年以来一直在使用这两个软件来攻击世界各地媒体、航空航天、金融和关键基础设施行业的公司。

Cobra使用的恶意软件是，远程访问特洛伊木马（RAT）称为乔纳普服务器消息块（SMB）蠕虫称为布拉姆布尔.让我们逐一了解这两个恶意软件的详细信息。

乔安娜，远程访问特洛伊木马程序

根据US-CERT警报，“全功能RAT”Joanap是一种两阶段恶意软件，用于建立点对点通信并管理僵尸网络，以实现其他恶意操作。

该恶意软件通常会以其他恶意软件交付的文件的形式感染系统，用户在访问被隐藏的Cobra参与者破坏的网站时，或者在打开恶意电子邮件附件时，会不知不觉地下载这些文件。

Joanap从隐藏的Cobra actors控制的远程命令和控制服务器接收命令，使他们能够窃取数据、安装和运行更多恶意软件，并在受损的Windows设备上初始化代理通信。

Joanap的其他功能包括文件管理、流程管理、创建和删除目录、僵尸网络管理和节点管理。

在分析Joanap基础设施的过程中，美国政府在巴西、中国、西班牙、台湾、瑞典、印度和伊朗等17个国家的87个受损网络节点上发现了恶意软件。

布拉姆布尔和SMB蠕虫

Brambul是一种强力身份验证蠕虫，与破坏性的WannaCry勒索软件一样，它滥用服务器消息块（SMB）协议，以便将自身传播到其他系统。

恶意Windows 32位SMB蠕虫充当服务动态链接库文件或可移植可执行文件，通常由dropper恶意软件丢弃并安装到受害者的网络上。

“当被执行时，恶意软件试图与受害者的系统和受害者本地子网上的IP地址建立联系，”警报指出。

“如果成功，应用程序会尝试通过SMB协议（端口139和445）通过使用嵌入密码列表发起蛮力密码攻击来获得未经授权的访问。此外，恶意软件还会生成随机IP地址以供进一步攻击”。

一旦Brambul获得对受感染系统的未经授权访问，恶意软件就会通过电子邮件将有关受害者系统的信息传达给隐藏的Cobra黑客。信息包括IP地址和主机名—；以及用户名和密码—；每个受害者的系统。

然后，黑客可以利用这些被盗信息通过SMB协议远程访问受损系统。演员们甚至可以生成并执行分析人士所说的“自杀脚本”

国土安全部和联邦调查局还提供了隐藏的眼镜蛇恶意软件与之通信的IP地址和其他IOC的可下载列表，以帮助你屏蔽它们，并使网络防御系统能够减少朝鲜政府对任何恶意网络活动的暴露。

国土安全部还建议用户和管理员使用最佳做法作为预防措施来保护他们的计算机网络，比如保持软件和系统的最新状态、运行防病毒软件、关闭SMB、禁止未知的可执行文件和软件应用程序。

去年，国土安全部和联邦调查局发布了一份警报，描述了隐藏的眼镜蛇恶意软件，名为德尔塔·查理他们认为朝鲜使用DDoS工具对其目标发起分布式拒绝服务（DDoS）攻击。

过去与隐藏眼镜蛇相关的其他恶意软件包括Destover、Wild Positron或Duuzer，以及具有复杂功能的刽子手，如DDoS僵尸网络、键盘记录器、远程访问工具（RATs）和雨刷恶意软件。