美国政府公布有关朝鲜HOPLIGHT恶意软件的详细信息

释放双眼,带上耳机,听听看~!

自“特金会”谈判破裂一来,老美官方披露的首篇关于朝鲜国家队的最新恶意软件分析。

美国政府今天发布了一份关于朝鲜黑客使用的新恶意软件的警告,美国政府已将其命名为HOPLIGHT。

该报告由美国国土安全部(DHS)和联邦调查局(FBI)的恶意软件分析师撰写,将HOPLIGHT恶意软件归咎于HIDDEN COBRA(Lazarus),这是美国政府对朝鲜主要政府支持的黑客组织的指定。

安全警报警告危险的后门木马

根据DHS-FBI的联合警报,HOPLIGHT似乎是一个非常强大的后门木马。

在受感染的系统上,恶意软件会收集有关目标设备的信息,并将数据发送到远程服务器。

它还可以从其命令和控制(C&C)服务器接收命令,并在受感染的主机上执行各种操作。

根据DHS-FBI的报告,HOPLIGHT可以:

  • 读取,写入和移动文件

  • 枚举系统驱动器

  • 创建和终止进程

  • 将代码注入正在运行的进程中

  • 创建,启动和停止服务

  • 修改注册表设置

  • 连接到远程主机

  • 上传和下载文件

恶意软件还使用内置代理应用程序来屏蔽其与远程命令和控制(C&C)服务器的通信。

“代理人能够使用有效的公共SSL证书生成虚假的TLS握手会话,伪装与远程恶意行为者的网络连接,”DHS和FBI分析师说。

HOPLIGHT似乎是新的恶意软件

该报告包含与恶意软件相关的九个文件的数字签名。

以前没有任何文件可用于VirusTotal。

“导致朝鲜恶意网络活动的HOPLIGHT恶意软件的变种是新的,它尚未在今天之前公开发布,”国土安全部网络安全和基础设施安全局(CISA)的官员告诉ZDNet。

该官员补充说:“HOPLIGHT在全球范围内被广泛使用的HIDDEN COBRA恶意活动检测到,并非针对特定关键基础设施部门。”

今天的HOPLIGHT报告是美国国土安全部和联邦调查局关于朝鲜恶意软件的第16次报告。

这些机构之前发布了关于WannaCry,DeltaCharlie(两份报告),Volgmer,FALLCHILL,BANKSHOT,BADCALL,HARDRAIN,SHARPKNOT,一个未命名的remtoe访问木马/蠕虫,Joanap和Brambul,TYPEFRAME,KEYMARBLE和FASTCash(两份报告)的报告。

从长远来看,所有这些报告似乎都得到了回报。

“一般来说,当CISA发布有关国家赞助活动的警报时,我们会收到一些感染受害者的报告,”CISA官员告诉ZDNet。“CISA建议观察恶意活动的受害者向NCCIC或FBI Cyber Watch报告。”

2019年1月,司法部,联邦调查局和美国空军成功破坏朝鲜的Joanap僵尸网络。

报告链接:

https://www.us-cert.gov/ncas/analysis-reports/AR19-100A


报告带规则,详细有用。


IOC

感谢您的关注和转发

右下角

朕已阅

本文源自微信公众号:黑鸟

人已赞赏
安全工具

纪录片:美国中情局解密 CIA Declassified 2013

2019-10-16 10:38:52

安全工具

棱镜门再现?美国国家安全局再被曝监控丑闻

2019-10-16 10:38:57

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索