联邦网络软件

在感染过程的初始阶段,恶意软件“Hoplight”会执行以下操作: 据美国计算机应急响应中心(USCERT)网站消息,美国国土安全部和联邦调查局近日联合发布警告,声称在美国政府网络…

在感染过程的初始阶段,恶意软件“Hoplight”会执行以下操作:

据美国计算机应急响应中心(USCERT)网站消息,美国国土安全部和联邦调查局近日联合发布警告,声称在美国政府网络中发现了朝鲜黑客组织“隐藏眼镜蛇(HiddenCobra)”植入的一种新型恶意软件变种“Hoplight”。

“隐藏眼镜蛇”拥有朝鲜官方背景,其前身是2014–2015年间活跃的拉扎罗斯(Lazarus)组织,又名“Guardians of Peace”,主要针对全球媒体组织、航空航天、金融和关键基础设施部门发起攻击。近年来,国土安全部和联邦调查局已经针对“隐藏眼镜蛇”发布过15次分析警告,包括WannaCry、DeltaCharlie(两份报告)、Volgmer、FALLCHILL、BANKSHOT、BADCALL、HARDRAIN、SHARPKNOT、一个未命名的远程访问木马/蠕虫、Joanap和Brambul、TYPEFRAME、KEYMARBLE和FASTCash(两份报告)等各种恶意软件。

研究人员发现,此次的Hoplight变种内含9个用来窃取目标网络敏感数据的恶意可执行文件,其中2个发送恶意软件,另外7个都是用来隐藏与恶意软件之间关联的代理程序,通过使用有效的公共SSL证书伪造TLS握手协议,隐藏恶意软件与远程攻击者的服务器之间的网络流量,建立安全连接,从而规避网络安全防御软件和系统管理员的检测,得以执行后续操作。

2019年4月11日  AnastasisVasileiadis

US-CERT建议,负责关键IT基础设施的人员应了解Hoplight并努力维护好网络安全。任何可能与Hoplight有关的网络活动都应报告给网络安全和基础设施安全局(CISA)或联邦调查局网络监视中心(CyWatch)。系统管理员应定期为所有信息系统安装补丁,防止恶意软件入侵,维护网络安全。

美国土安全部和联邦调查局在政府网络中发现朝鲜恶意软件“Hoplight”

HOPLIGHT恶意软件还会加载多个与Pass-The-Hash(PTH)工具包相关连得应用程序接口(API)。这表示Hoplight还能窃取用户的认证和密码。

用户和管理员应标记与该恶意软件及下列入侵标识有关的活动:

朝鲜政府已经利用“Hoplight”向多个组织和政府机构实施了一系列网络入侵行动。“Hoplight这一恶意软件变种,是此前从未公开发布过的”,国土安全部网络安全和基础设施安全局(CISA)的一位官员表示, “‘隐藏眼镜蛇’在全球范围内发起的恶意网络攻击中都使用过Hoplight,并非针对特定的关键基础设施部门。”

相关推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注