2019年9月，與流行的惡意軟件掃描引擎共享的11個(gè)惡意軟件樣本歸因于Lazarus，在美國(guó)被稱為“隱藏的眼鏡蛇”。而目前，美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）已將最新的Lazarus（與朝鮮有聯(lián)系的威脅組織）惡意軟件樣本上載到VirusTotal。

這些樣本已添加到掃描引擎中，作為USCYBERCOM的網(wǎng)絡(luò)國(guó)家宣教部隊(duì)（CNMF）于2018年11月啟動(dòng)的項(xiàng)目的一部分。

USCYBERCOM現(xiàn)在又添加了6個(gè)新樣本，這些樣本與同一政府支持的黑客組織Lazarus有關(guān)。其中兩個(gè)新樣本似乎是在2019年夏季創(chuàng)建的，兩個(gè)是2018年2月創(chuàng)建的，一個(gè)是2017年9月創(chuàng)建的，另一個(gè)是2016年10月創(chuàng)建的。

USCYBERCOM說，該惡意軟件目前被用于網(wǎng)絡(luò)釣魚和遠(yuǎn)程訪問，被黑客組織用于竊取資金和逃避制裁的非法活動(dòng)。

考慮到這些樣本中的某些樣本已經(jīng)過時(shí)，因此已經(jīng)被VirusTotal中的反惡意軟件公司廣泛檢測(cè)到。美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已針對(duì)每個(gè)樣本發(fā)布了惡意軟件分析報(bào)告

1.被稱為ARTFULPIE的惡意軟件是一種植入程序，旨在從硬編碼的URL中提取DLL，然后將其加載到內(nèi)存中并執(zhí)行。

2.功能齊全的植入器HOTCROISSANT，可以對(duì)系統(tǒng)進(jìn)行指紋識(shí)別，下載和上傳文件，執(zhí)行過程和命令以及捕獲屏幕截圖。

3.CROWDEDFLOUNDER可以在內(nèi)存中解壓縮并執(zhí)行遠(yuǎn)程訪問特洛伊木馬（RAT）二進(jìn)制文件，并且可以偵聽命令的代理或連接到遠(yuǎn)程服務(wù)器以接收命令。

4.SLICKSHOES是一種植入器，可以收集系統(tǒng)信息，下載/上傳文件，執(zhí)行命令以及截屏。

5.BISTROMATH是功能全面的RAT，可以收集系統(tǒng)數(shù)據(jù)，上載/下載文件，運(yùn)行命令以及監(jiān)視麥克風(fēng)，剪貼板和屏幕。

6.BUFFETLINE是功能齊全的信標(biāo)植入程序，可以下載，上傳，刪除和執(zhí)行文件。創(chuàng)建和刪除流程；執(zhí)行目標(biāo)系統(tǒng)枚舉；并啟用Windows CLI訪問。

除了這些報(bào)告之外，CISA還更新了有關(guān)HOPLIGHT遠(yuǎn)程訪問木馬（RAT）的報(bào)告，由于代碼相似，VirusTotal上的一些反惡意軟件公司將其檢測(cè)為NukeSped RAT的變體。

來源：安全內(nèi)參

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明