FBI對兩個與隱藏的眼鏡蛇黑客有關的新惡意軟件發出警報

隱藏眼鏡蛇，通常被稱為拉扎勒斯集團和和平衛士，據信得到了朝鮮政府的支持，并已知對世界各地的媒體組織、航空航天、金融和關鍵基礎設施部門發起攻擊。

該組織甚至與去年關閉全球醫院和企業的WannaCry勒索軟件威脅有關。據報道，它還與2014年索尼影業的黑客攻擊以及2016年的SWIFT銀行攻擊有關。

現在，國土安全部（DHS）和聯邦調查局（FBI）發現了兩個新的惡意軟件，隱藏眼鏡蛇（Hidden Cobra）至少自2009年以來一直在使用這兩個軟件來攻擊世界各地媒體、航空航天、金融和關鍵基礎設施行業的公司。

Cobra使用的惡意軟件是，遠程訪問特洛伊木馬（RAT）稱為喬納普服務器消息塊（SMB）蠕蟲稱為布拉姆布爾.讓我們逐一了解這兩個惡意軟件的詳細信息。

喬安娜，遠程訪問特洛伊木馬程序

根據US-CERT警報，“全功能RAT”Joanap是一種兩階段惡意軟件，用于建立點對點通信并管理僵尸網絡，以實現其他惡意操作。

該惡意軟件通常會以其他惡意軟件交付的文件的形式感染系統，用戶在訪問被隱藏的Cobra參與者破壞的網站時，或者在打開惡意電子郵件附件時，會不知不覺地下載這些文件。

Joanap從隱藏的Cobra actors控制的遠程命令和控制服務器接收命令，使他們能夠竊取數據、安裝和運行更多惡意軟件，并在受損的Windows設備上初始化代理通信。

Joanap的其他功能包括文件管理、流程管理、創建和刪除目錄、僵尸網絡管理和節點管理。

在分析Joanap基礎設施的過程中，美國政府在巴西、中國、西班牙、臺灣、瑞典、印度和伊朗等17個國家的87個受損網絡節點上發現了惡意軟件。

布拉姆布爾和SMB蠕蟲

Brambul是一種強力身份驗證蠕蟲，與破壞性的WannaCry勒索軟件一樣，它濫用服務器消息塊（SMB）協議，以便將自身傳播到其他系統。

惡意Windows 32位SMB蠕蟲充當服務動態鏈接庫文件或可移植可執行文件，通常由dropper惡意軟件丟棄并安裝到受害者的網絡上。

“當被執行時，惡意軟件試圖與受害者的系統和受害者本地子網上的IP地址建立聯系，”警報指出。

“如果成功，應用程序會嘗試通過SMB協議（端口139和445）通過使用嵌入密碼列表發起蠻力密碼攻擊來獲得未經授權的訪問。此外，惡意軟件還會生成隨機IP地址以供進一步攻擊”。

一旦Brambul獲得對受感染系統的未經授權訪問，惡意軟件就會通過電子郵件將有關受害者系統的信息傳達給隱藏的Cobra黑客。信息包括IP地址和主機名—；以及用戶名和密碼—；每個受害者的系統。

然后，黑客可以利用這些被盜信息通過SMB協議遠程訪問受損系統。演員們甚至可以生成并執行分析人士所說的“自殺腳本”

國土安全部和聯邦調查局還提供了隱藏的眼鏡蛇惡意軟件與之通信的IP地址和其他IOC的可下載列表，以幫助你屏蔽它們，并使網絡防御系統能夠減少朝鮮政府對任何惡意網絡活動的暴露。

國土安全部還建議用戶和管理員使用最佳做法作為預防措施來保護他們的計算機網絡，比如保持軟件和系統的最新狀態、運行防病毒軟件、關閉SMB、禁止未知的可執行文件和軟件應用程序。

去年，國土安全部和聯邦調查局發布了一份警報，描述了隱藏的眼鏡蛇惡意軟件，名為德爾塔·查理他們認為朝鮮使用DDoS工具對其目標發起分布式拒絕服務（DDoS）攻擊。

過去與隱藏眼鏡蛇相關的其他惡意軟件包括Destover、Wild Positron或Duuzer，以及具有復雜功能的劊子手，如DDoS僵尸網絡、鍵盤記錄器、遠程訪問工具（RATs）和雨刷惡意軟件。