2019年9月,与流行的恶意软件扫描引擎共享的11个恶意软件样本归因于Lazarus,在美国被称为“隐藏的眼镜蛇”。而目前,美国网络司令部(USCYBERCOM)已将最新的Lazarus(与朝鲜有联系的威胁组织)恶意软件样本上载到VirusTotal。
这些样本已添加到扫描引擎中,作为USCYBERCOM的网络国家宣教部队(CNMF)于2018年11月启动的项目的一部分。
USCYBERCOM现在又添加了6个新样本,这些样本与同一政府支持的黑客组织Lazarus有关。其中两个新样本似乎是在2019年夏季创建的,两个是2018年2月创建的,一个是2017年9月创建的,另一个是2016年10月创建的。
USCYBERCOM说,该恶意软件目前被用于网络钓鱼和远程访问,被黑客组织用于窃取资金和逃避制裁的非法活动。
考虑到这些样本中的某些样本已经过时,因此已经被VirusTotal中的反恶意软件公司广泛检测到。美国国土安全部网络安全和基础设施安全局(CISA)已针对每个样本发布了恶意软件分析报告
1.被称为ARTFULPIE的恶意软件是一种植入程序,旨在从硬编码的URL中提取DLL,然后将其加载到内存中并执行。
2.功能齐全的植入器HOTCROISSANT,可以对系统进行指纹识别,下载和上传文件,执行过程和命令以及捕获屏幕截图。
3.CROWDEDFLOUNDER可以在内存中解压缩并执行远程访问特洛伊木马(RAT)二进制文件,并且可以侦听命令的代理或连接到远程服务器以接收命令。
4.SLICKSHOES是一种植入器,可以收集系统信息,下载/上传文件,执行命令以及截屏。
5.BISTROMATH是功能全面的RAT,可以收集系统数据,上载/下载文件,运行命令以及监视麦克风,剪贴板和屏幕。
6.BUFFETLINE是功能齐全的信标植入程序,可以下载,上传,删除和执行文件。创建和删除流程;执行目标系统枚举;并启用Windows CLI访问。
除了这些报告之外,CISA还更新了有关HOPLIGHT远程访问木马(RAT)的报告,由于代码相似,VirusTotal上的一些反恶意软件公司将其检测为NukeSped RAT的变体。
参考:
https://www.securityweek.com/uscybercom-shares-more-north-korean-malware-samples