13日中午时分,美国国土安全部(DHS)与美国联邦调查局(FBI)联合发布了关于恶意程序DeltaCharlie 系列的文件报告。报告中称该系列的恶意程序的所有者(目前命名为Hidden Cobra 组织)受朝鲜政府保护。在过去8年中,朝鲜使用该系列程序已多次实施了 DDoS 僵尸网络攻击。
请务必警惕朝鲜政府的 Hidden Cobra 组织!——联合预警报告中如此写道
这个Hidden Cobra 组织自 2009 开始有所动作,甚至最早可能在 2007 年就开始参加网络间谍及破坏活动,致力于破坏相应计算机系统及其中的数据。本次预警报告中披露了更多该涉及该组织的信息及利用 DeltaCharlie 实施 DDoS 的细节内容。
Hidden Cobra是什么?
结合此次 DHS 与 FBI 的报告数据及 Operation Blockbuster 的报告 ,我们可以知道,Hidden Cobra 其实也就是之前 2014 – 2015 年间活跃的 Lazarus 组织(又名 Guardians of Peace,在FB的安全快讯中我们也时常可以看到 Lazarus 组织的身影),而 DeltaCharlie 则是黑客组织开发的第三个 DDoS bot。
DeltaCharlie 能够针对目标发动DDoS攻击,包括DNS污染,NTP攻击和CGP攻击。僵尸网络恶意程序能够在受感染系统上下载可执行文件,更新二进制文件,实时更改文件配置,管理进程,发动或停止DDoS攻击。
DHS 和 FBI 将这个组织命名为 HIDDEN COBRA ,并将进行继续的跟踪调查。目前所发现的这个恶意程序家族系列,除了 DeltaCharlie 还有 DeltaAlfa 和 DeltaBravo 。
这个恶意程序并非近期才登场,在2016年2月安全研究院就发现了他的身影。在那时 DHS 和 FBI 列出了感染僵尸网络的IP地址清单和 YARA 规则,帮助企业和专家应对攻击。
而在过去的八年中,该组织主要以媒体、航空、金融、及关键基础设施为目标进行网络攻击。HIDDEN COBRA中发动的多起攻击中,主要使用了包括DDoS 僵尸网络, 按键追踪, RAT及其他恶意程序工具(如 Destover,Wild Positron/Duuzer,Hangman等)。
2009 年 7 月 – 实施了针对美、韩网站的大规模 DDoS 攻击2011 年 3 月 – 盗用韩国境内计算机 DDoS 攻击了韩国的媒体、金融及基础设施机构2011 年 4 月 – DDoS 攻击了韩国友利银行……
Hidden Cobra 所偏爱的漏洞
Hidden Cobra 组织攻击目标的系统主要是停止更新的旧版 Windows 操作系统,通常利用 Adobe Flash Player 的安全漏洞获取进行内部入侵。
以下为目前已知的该组织利用的漏洞:
Hangul Word Processor bug (CVE-2015-6585)
Microsoft Silverlight flaw (CVE-2015-8651)
Adobe Flash Player 18.0.0.324 and 19.x vulnerability (CVE-2016-0034)
Adobe Flash Player 21.0.0.197 Vulnerability (CVE-2016-1019)
Adobe Flash Player 21.0.0.226 Vulnerability (CVE-2016-4117)
预警提出的应对措施
最简单的防御方法是及时更新操作系统和安装的应用程序,并使用防火墙防护重要的网络资产。其次,由于 Adobe Flash Player 中存在许多易被利用的漏洞,在发布修复补丁后用户应当及时更新进行修复。其次,预警报告中提出,用户如果检测出相应的恶意程序需要及时上报相关部门,以利于持续监控和收集相关恶意网络活动的信息。
如果用户或者管理员检测到 HIDDEN COBRA的工具,则应立即标记并上报DHS国家网络安全通信和集成中心(NCCIC)或联邦调查局网络监视(CyWatch)。
|