【安全資訊】美國政府發布與Lazarus有關的新惡意軟件和釣魚活動警報
美國網絡司令部,國土安全部和聯邦調查局在2020年2月14日曝光了一項新的朝鮮黑客行動。當局已經發布了安全公告,其中詳細介紹了Lazarus目前正在使用的七個新惡意軟件家族。
這些惡意軟件家族是:
Bistromath,功能齊全的遠程訪問木馬和植入程序,可以執行系統調查,文件上載和下載,處理和命令執行以及對麥克風,剪貼板和屏幕的監視。
Slickshoes,是一種下載程序,可以加載但實際上不執行,它是一種“信標植入物”,可以完成Bistromath類似功能。
Crowdedflounder,Windows可執行文件,旨在將遠程訪問木馬解壓縮并執行到計算機內存中。
Hotcroissant,一種功能齊全的信標植入程序,同樣可以完成上面列出的Bistromath的類似操作。
Artfulpie,一種植入物,可從硬編碼的URL下載DLL文件并將其在內存中加載和執行。
Buffetline,功能齊全的信標植入程序,可以下載,上傳,刪除和執行文件;啟用Windows CLI訪問;創建和終止進程;以及執行目標系統枚舉。通過使用LoadLibrary和GetProcAddress對混淆后的字符串執行動態DLL導入和API查找,以隱藏其對網絡功能的使用。
Hoplight,一個基于代理功能的后門程序。該程序是惡意的PE32可執行文件。 執行后,惡意軟件將收集有關受害機器的系統信息,包括操作系統版本,卷信息和系統時間,并枚舉系統驅動器和分區。
此前,美國司法部已指控該組織的成員參與了多個安全事件,包括索尼2014年黑客攻擊,2016年對孟加拉國銀行的攻擊以及2017年5月策劃的WannaCry勒索軟件爆發??ò退够窒淼慕貓D表明該惡意軟件樣本還與過去的攻擊活動中使用的其他朝鮮惡意軟件家族共享了代碼,由此有效地確認了CISA / FBI / Cyber Command 的歸因。
這些惡意軟件家族是:
Bistromath,功能齊全的遠程訪問木馬和植入程序,可以執行系統調查,文件上載和下載,處理和命令執行以及對麥克風,剪貼板和屏幕的監視。
Slickshoes,是一種下載程序,可以加載但實際上不執行,它是一種“信標植入物”,可以完成Bistromath類似功能。
Crowdedflounder,Windows可執行文件,旨在將遠程訪問木馬解壓縮并執行到計算機內存中。
Hotcroissant,一種功能齊全的信標植入程序,同樣可以完成上面列出的Bistromath的類似操作。
Artfulpie,一種植入物,可從硬編碼的URL下載DLL文件并將其在內存中加載和執行。
Buffetline,功能齊全的信標植入程序,可以下載,上傳,刪除和執行文件;啟用Windows CLI訪問;創建和終止進程;以及執行目標系統枚舉。通過使用LoadLibrary和GetProcAddress對混淆后的字符串執行動態DLL導入和API查找,以隱藏其對網絡功能的使用。
Hoplight,一個基于代理功能的后門程序。該程序是惡意的PE32可執行文件。 執行后,惡意軟件將收集有關受害機器的系統信息,包括操作系統版本,卷信息和系統時間,并枚舉系統驅動器和分區。
此前,美國司法部已指控該組織的成員參與了多個安全事件,包括索尼2014年黑客攻擊,2016年對孟加拉國銀行的攻擊以及2017年5月策劃的WannaCry勒索軟件爆發??ò退够窒淼慕貓D表明該惡意軟件樣本還與過去的攻擊活動中使用的其他朝鮮惡意軟件家族共享了代碼,由此有效地確認了CISA / FBI / Cyber Command 的歸因。
失陷指標(IOC)59
這么重要的IOC情報,趕緊
登錄
來看看吧~
相關鏈接
https://www.zdnet.com/article/us-cyber-command-dhs-and-fbi-expose-new-north-korean-malware/https://www.us-cert.gov/northkoreahttps://www.us-cert.gov/ncas/analysis-reports/ar20-045g
0條評論
看了這么久,請
登錄
,對他說點啥~
0
0
分享
微信掃一掃分享