美国五角大楼、美国联邦调查局(FBI)和美国国土安全部(Department of Homeland Security)上周五曝光了朝鲜的一次黑客行动，并提供了行动中使用的7个恶意软件的技术细节。

 

五角大楼美国网络司令部(US Cyber Command)下属的美国网络国家任务部队(US Cyber National Mission Force)在Twitter上表示，这种恶意软件“目前被(朝鲜政府)网络行动者用于网络钓鱼和远程访问，进行非法活动、窃取资金和逃避制裁。”这条推文链接到VirusTotal网站上的一篇帖子。VirusTotal是alphabet.com旗下的恶意软件库，沐鸣开户测速它提供了密码散列、文件名和其他技术细节，可以帮助防御者识别他们保护的网络中的漏洞。

 

USCYBERCOM恶意软件警告

 

✔

 

@CNMF_VirusAlert

 

这个恶意软件目前被#朝鲜网络行动者用于网络钓鱼和远程访问进行非法活动，窃取资金和逃避制裁。@CISAgov @DHS @US_CYBERCOM

 

美国国土安全部(DHS)网络安全和基础设施安全局(cyber and Infrastructure Security Agency)的一份附带建议称，此次行动是“隐藏眼镜蛇”(Hidden Cobra)所为。私营部门的许多安全研究人员为该组织使用其他名称，包括拉撒路(Lazarus)和Zinc。7个恶意软件家族中的6个于周五被上传到VirusTotal。他们包括:

 

Bistromath是一个功能全面的远程访问木马，它可以执行系统调查、文件上传和下载、处理和命令执行，以及监控麦克风、剪贴板和屏幕

 

Slickshoes是一个“滴管”，它可以装载“信标植入物”，但实际上并不会执行，它可以做Bistromath做的许多事情

 

Hotcroissant是一种功能齐全的信标植入物，它也能做上面列出的许多事情

 

Artfulpie，一种“从硬编码url执行下载和内存加载以及执行DLL文件的植入”

 

另一个全功能的植入物，但是这个使用了一个假的HTTPS方案和一个修改过的RC4加密密码来保持隐秘

 

crowdedder，一种Windows可执行文件，旨在解压并执行一个远程访问木马到计算机内存中

 

但是等待…有更多的

 

美国国家网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency，简称nsa)上周五发布的这份报告还提供了此前披露的hohohov的更多细节。hohohohov是一个由20个文件组成的家庭，其功能相当于一个基于代理的后门。这些恶意软件都不包含伪造的数字签名，这种技术是更高级的黑客操作中的标准技术，可以更容易地绕过端点安全保护。

 

卡巴斯基实验室(Kaspersky Lab)全球研究与分析团队的负责人科斯汀?

 

卡巴斯基实验室

 

周五的联合咨询是联邦政府公开识别外国黑客及其活动的一种相对较新的方法的一部分。此前，政府官员大多避免将特定的黑客活动归咎于特定的政府。2014年，这种做法开始改变，美国联邦调查局(FBI)公开得出结论，认为朝鲜政府是一年前索尼影业(Sony Pictures)遭到的高度破坏性黑客攻击的幕后黑手。2018年，美国司法部(Department of Justice)指控一名朝鲜特工涉嫌实施了索尼(Sony)的黑客攻击，并释放了WannaCry勒索软件蠕虫，导致全球电脑在2017年关闭。去年，美国财政部对三家朝鲜黑客组织实施了制裁，这些黑客组织被广泛指控对关键基础设施进行了攻击，并从加密货币交易所的银行窃取了数百万美元。

 

正如Cyberscoop指出的那样，沐鸣开户测速周五标志着美国网络司令部第一次确认了朝鲜的黑客行动。这一变化的一个原因是:尽管朝鲜政府的黑客使用的恶意软件和技术往往不如其他国家的黑客先进，但攻击手段正变得越来越复杂。路透社(Reuters)等新闻机构援引联合国去年8月的一份报告称，据估计，朝鲜对银行和加密货币交易所的黑客攻击为该国的大规模杀伤性武器计划带来了20亿美元的收入。