美国警告"德尔塔卡利",朝鲜DDoS僵尸网络恶意软件
联邦调查局(FBI)和美国国土安全部(DHS)的联合报告详细介绍了德尔塔·查理,“使用的恶意软件变体”隐藏眼镜蛇“作为其DDoS僵尸网络的一部分,黑客集团将在全球范围内感染数十万台计算机。
根据该报告,隐藏的眼镜蛇黑客组织据信得到了朝鲜政府的支持,并已知对包括媒体组织、航空航天和金融部门以及关键基础设施在内的全球机构发起网络攻击。
虽然美国政府将朝鲜黑客组织称为“隐藏眼镜蛇”,但它通常被称为“拉扎勒斯集团和和平卫士”–;据称,这起事件与导致世界各地的医院和企业倒闭的毁灭性WannaCry勒索软件威胁有关。
德尔塔卡利;DDoS僵尸网络恶意软
这些机构确定了与“DeltaCharlie”和#8211相关的“高度机密”IP地址;国土安全部和联邦调查局认为,朝鲜使用DDoS工具对其目标发起分布式拒绝服务(DDoS)攻击。
DeltaCharlie能够对其目标发起多种DDoS攻击,包括域名系统(DNS)攻击、网络时间协议(NTP)攻击和字符生成协议(CGP)攻击。
僵尸网络恶意软件能够下载受感染系统上的可执行文件,更新自己的二进制文件,实时更改自己的配置,终止其进程,以及激活和终止DDoS攻击。
然而,DeltaCarlie DDoS恶意软件并不是新出现的。
DeltaCharlie最初由Novetta在其2016年的Blockbuster恶意软件报告[PDF]中报告,该报告将其描述为继DeltaAlpha和DeltaBravo之后朝鲜黑客组织的第三个僵尸网络恶意软件。
隐藏眼镜蛇使用的其他恶意软件包括Destover、Wild Positron或Duuzer,以及具有复杂功能的刽子手,包括DDoS僵尸网络、键盘记录器、远程访问工具(RATs)和雨刷恶意软件。
隐藏眼镜蛇最喜欢的漏洞
Hidden Cobra自2009年开始运行,其目标通常是运行较旧、不受支持的Microsoft操作系统版本的系统,通常利用Adobe Flash Player中的漏洞获得受害者机器的初始入口点。
以下是影响各种应用程序的已知漏洞,这些漏洞通常被隐藏的Cobra利用:
- 韩语文字处理器错误(CVE-2015-6585)
- Microsoft Silverlight缺陷(CVE-2015-8651)
- Adobe Flash Player 18.0.0.324和19。x漏洞(CVE-2016-0034)
- Adobe Flash Player 21.0.0.197漏洞(CVE-2016-1019)
- Adobe Flash Player 21.0.0.226漏洞(CVE-2016-4117)
防御此类攻击的最简单方法是始终保持操作系统、安装的软件和应用程序处于最新状态,并在防火墙后保护网络资产。
由于Adobe Flash Player容易受到许多攻击,而且就在今天,该公司修补了Player中的九个漏洞,因此建议您将其更新或从计算机中完全删除。
联邦调查局和国土安全部提供了大量的泄露指标(IOCs)、恶意软件描述、网络签名以及基于主机的规则(YARA规则),试图帮助捍卫者检测朝鲜国家支持的黑客组织的活动。
“如果用户或管理员检测到显示隐藏眼镜蛇的定制工具,应立即标记这些工具,并向国土安全部国家网络安全通信与集成中心(NCCIC)或联邦调查局网络观察(CyWatch)报告,并给予增强缓解措施的最高优先级”警报写道。
除此之外,这些机构还为用户和网络管理员提供了一长串缓解措施供阅读者们浏览。
