近日一直緊咬北韓的美國政府又發布了相關報告。繼去年之後,周二美國網路安全暨基礎架構安全署(Cybersecurity and Infrastructure Security Agency,CISA)、聯邦調查局(FBI)及國防部(DoD)聯合發布三份惡意軟體分析報告,揭露北韓政府用來攻擊其他國家的最新惡意程式。

每份報告列出了技術細節、建議的因應行為和緩解之道。這三支惡意程式分別是遠端存取工具(Remote Access Tool) Copperhedge,及Taintedscribe和Pebbledash兩隻木馬程式。美國政府相信3隻惡意程式都被代號為Hidden Cobra(又名Lazarus、Guardians of Peace或Zinc)的北韓國家級駭客用來發動攻擊。

其中Copperhedge又名Manuscrypt RAT,專門為APT駭客用來攻擊加密貨幣交易平臺和類似單位,是一支功能完備的RAT,可執行任意指令、系統偵查、外洩資料等,研究人員已經發現6隻變種。

TaintedscribePebbledash兩隻木馬很像,都使用FakeTLS協定作為流量驗證,但前者使用Linear Feedback Shift Register (LFSR)演算法從事網路加密,後者則使用RC4作網路加密。此外,兩者都具備從C&C伺服器下載、上傳檔案、刪除及執行檔案、允許Windows CLI存取、建立和終結程序和執行目標系統列舉(system enumeration)的能力。研究人員還發現Taintedscribe主要執行檔,會冒充微軟的朗誦程式引誘用戶啟動。

美國政府宣稱Hidden Cobra/ Lazarus 犯行累累,包括2014年入侵索尼影業(Sony Picture)網路及駭入電腦恐嚇、盜轉孟加拉央行1億美金,以及撰寫出2017年癱瘓全球電廠、機場和醫院的WannaCry。上個月祭出500萬美元,要求各方提供北韓駭客及其駭客行動的資訊。


Advertisement

更多 iThome相關內容