当前位置:安全资讯 >> 全文

美国 CERT 为朝鲜Hoplight 恶意软件拉响警报

发布时间:2019-4-12 21:52 标签: APT 朝鲜,恶意软件
分享到 0

美国 CERT 发布报告称,被指受朝鲜政府控制的黑客组织 Lazarus Group (也被称为“Hidden Cobra”)开发了一款新型间谍软件,能够安全地连接到一台控制服务器并从受感染机器中上传过滤后的文件。

这款恶意软件被称为 Hoplight,由9份文件组成,尽管多数文件旨在作为确保管理员和安全软件不会发现攻击的混淆层。

US-CERT 在报告中指出,“7份文件是用于掩盖恶意软件和远程运营人员之间的代理应用程序。这些代理能够使用公开的 SSL 证书生成虚假的 TLS 握手会话,掩饰和远程恶意威胁者之间的网络连接。”

在这7个代理层下面,Hoplight 使用合法 SSL 证书创建安全连接,随后最后一层即第9层创建和控制服务器的站外连接以便传输过滤后的信息。这份证书看似是源自朝鲜搜索引擎和服务提供商 Naver 的公开的 SSL 证书。

报告指出,在文件绑定中,Hoplight 恶意数据包能够执行一系列远程控制和间谍软件活动,包括读取和写入本地文件,创建、终止或修改运行进程和注册表设置,并连接到远程主机以上传并下载文件。

LazarusGroup 和其它受国家支持的组织不同,它的主要目的并非间谍或知识产权窃取,而是实施金融犯罪为朝鲜提供经济支持。

LazarusGroup 曾被指在2014年攻击索尼影业。

该组织通常使用鱼叉式钓鱼攻击将恶意软件传输至外国目标。US-CERT 建议管理员和用户采取基本的安全措施(如例行修复系统并将恶意软件防护措施更新至最新状态)以防止此类攻击。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.theregister.co.uk/2019/04/10/lazarus_group_malware/
参与讨论,请先 登录 | 注册

用户评论