美國公布北韓駭客所使用的RAT惡意程式

美國國土安全部網路安全及基礎架構安全署（CISA）與聯邦調查局（FBI），本周共同發表惡意程式分析報告，指出名為Blindingcan的惡意程式為北韓駭客集團Hidden Cobra所開發的遠端存取木馬（Remote Access Trojan，RAT），鎖定美國政府的承包商發動攻擊，以竊取與軍事及能源技術相關的機密資訊。

Hidden Cobra假借國防承包商的名義，寄出了求才電子郵件，以誘導使用者開啟惡意文件。在CISA所收到的攻擊樣本中，有4個Word的Open XML（. docx）檔案，兩個DLLs檔案，其中，. docx檔案企圖連結外部網域以下載惡意程式，而DLLs檔案則是用來安裝與執行木馬程式，並允許駭客自遠端操控木馬。

此外，由駭客所掌控的命令暨控制伺服器，是架設在已被該集團入侵的、不同國家的基礎設施上，藉以掩人耳目。

分析顯示，Blindingcan能夠取得所安裝磁碟的資訊，包括磁碟類型及可用空間，也能建立、開始或終止新程序，或是搜尋、寫入、移動與刪除檔案，還能變更檔案或目錄的時間戳，修改檔案或程序的目錄，還能刪除自己的蹤跡。

CISA與FBI透過反向工程取得了Blindingcan的詳細資訊，用來提醒其它組織應多加防範。