美国政府披露朝鲜网络攻击详情
翻译:360代码卫士团队
美国国土安全部 (DHS) 公布了声称跟朝鲜政府黑客组织“隐匿的眼镜蛇 (Hidden Cobra)”存在关联的两款黑客工具详情。
这个黑客组织在网络安全社区被称为Lazarus组织,它被指发动多起高规格攻击,如攻击索尼影业、孟加拉国中央银行和位于波兰的金融组织机构。这个黑客组织还被指跟WannaCry勒索攻击有关,但某些专家对此持怀疑态度。
DHS和FBI联合发布的报告指出,朝鲜政府使用一个名为FALLCHILL的远程访问工具 (RAT)入侵航空航天、通信和金融行业的企业。报告指出,FALLCHILL是一个“带有多个指令的完全能起作用的RAT,攻击者能从命令和控制服务器经由双代理发送给受害者系统。”
美国政府指出在FALLCHILL恶意软件使用的基础设施中找到83个网络节点。
Vulgmer木马也跟朝鲜有关?
DHS和FBI还在周二发布的另外一份警告中展示了一系列据称跟朝鲜政府所使用的Volgmer木马变体存在关联的IP地址和其它IOC。该警告指出,Volgmer是一个后门木马,“旨在提供访问受攻陷系统的隐秘权限。”DHS表示至少存在94个静态IP地址跟Volgmer的基础设施相似,以及在多个国家注册的动态IP地址也存在关联。
DHS表示,跟朝鲜存在关联的黑客在针对政府、金融机构、汽车行业和媒体行业的攻击者已在使用Volgmer恶意软件,至少从2013年开始使用。
DHS警告称,鱼叉式钓鱼攻击似乎是Volgmer感染使用的主要传播机制,不过“隐匿的眼镜蛇”背后的黑客也适用一些定制化工具,其中一些是为了攻陷系统。
6月份,ICS-CERT发布了一份技术警告报告,告警组织机构警惕由“隐匿的眼镜蛇”发动的DDoS攻击。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/us-government-shares-details-north-korea-cyber-attacks