美网络司令部发布朝APT最新样本

365bet手机版网址:2020-02-17 365bet体育在线平台: 8221 次

2019年9月,与流行的恶意App扫描引擎共享的11个恶意App样本归因于Lazarus,在美国被称为“隐藏的眼镜蛇”。而目前,美国网络司令部(USCYBERCOM)已将最新的Lazarus(与朝鲜有联系的威胁组织)恶意App样本上载到VirusTotal。

这些样本已添加到扫描引擎中,作为USCYBERCOM的网络国家宣教部队(CNMF)于2018年11月启动的项目的一部分。

USCYBERCOM现在又添加了6个新样本,这些样本与同一政府支撑的黑客组织Lazarus有关。其中两个新样本似乎是在2019年夏季创建的,两个是2018年2月创建的,一个是2017年9月创建的,另一个是2016年10月创建的。

USCYBERCOM说,该恶意App目前被用于网络钓鱼和远程访问,被黑客组织用于窃取资金和逃避制裁的非法活动。

考虑到这些样本中的某些样本已经过时,因此已经被VirusTotal中的反恶意App企业广泛检测到。美国国土安全部网络安全和基础设施安全局(CISA)已针对每个样本发布了恶意App分析报告

1.被称为ARTFULPIE的恶意App是一种植入程序,旨在从硬编码的URL中提取DLL,然后将其加载到内存中并实行。

2.功能齐全的植入器HOTCROISSANT,可以对系统进行指纹识别,下载和上传文件,实行过程和命令以及捕获屏幕截图。

3.CROWDEDFLOUNDER可以在内存中解压缩并实行远程访问特洛伊木马(RAT)二进制文件,并且可以侦听命令的代理或连接到远程服务器以接收命令。

4.SLICKSHOES是一种植入器,可以收集系统信息,下载/上传文件,实行命令以及截屏。

5.BISTROMATH是功能全面的RAT,可以收集系统数据,上载/下载文件,运行命令以及监视麦克风,剪贴板和屏幕。

6.BUFFETLINE是功能齐全的信标植入程序,可以下载,上传,删除和实行文件。创建和删除流程;实行目标系统枚举;并启用Windows CLI访问。

除了这些报告之外,CISA还更新了有关HOPLIGHT远程访问木马(RAT)的报告,由于代码相似,VirusTotal上的一些反恶意App企业将其检测为NukeSped RAT的变体。

参考:

https://www.securityweek.com/uscybercom-shares-more-north-korean-malware-samples

 

转自:黑白之道

分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图