上周五,美国五角大楼、联邦调查局和国土安全部,联合发布了有关朝鲜发起的黑客攻击事件的技术细节。其中谈到了七种恶意软件,涉及网络钓鱼和远程访问,以及所谓的非法活动、窃取资金和逃避制裁。在 @CNMF_VirusAlert 发布的推特帖子中,还附上了有关详情的链接。 (截图 viaArsTechnica) 链接到 VirusTotal 的帖子,公布了有关散列密码、文件名和其它技术详情,可帮助防御者识别其内部网络威胁。 美国土安全部下设网络安全和基础设施安全局(IEA)的咨询顾问称,行动背后有着 Hidden Cobra 的身影,美方怀疑该黑客组织与朝鲜政府有关。 本次曝光的七款恶意软件,有六个都被上传到了 VirusTotal,包括: (1)Bistromath:功能齐全的远程访问木马和植入程序,可执行系统调查、文件上传和下载、处理和命令执行,以及对麦克风、剪贴板和屏幕的监视。 (2)Slickshoes:一种信标植入手段,可加载但不执行,能够辅助 Bistromath 实现诸多功能。 (3)Hotcroissant:一种功能齐全的信标植入手段,可实现上文列出的诸多相同功能。 (4)Artfulpie:可从硬编码的网址执行 DLL 文件的下载,在内存中加载和执行植入程序。 (5)Buttetline:另一种功能完备的植入手段,使用伪造的 HTTPS 方案和经过修改的 RC4 加密密码来保持隐身状态。 (6)Crowdedflounder:一个Windows可执行文件,旨在将远程访问木马解压到计算机内存中并执行。 Cyberscoop 指出:上周五的行动,标志着美国网络司令部首次认定了朝方的黑客行动。促成这一点的其中一个原因,是攻击的复杂性已变得越来越高。 包括路透社在内的多家新闻机构,均援引过去年八月的联合国报告,预估朝方黑客针对金融机构和加密货币交易攻击的获利高达 20 亿美元。
