美國公布北韓駭客所使用的RAT惡意程式

美國國土安全部網路安全及基礎架構安全署(CISA)與聯邦調查局(FBI),本周共同發表惡意程式分析報告,指出名為Blindingcan的惡意程式為北韓駭客集團Hidden Cobra所開發的遠端存取木馬(Remote Access Trojan,RAT),鎖定美國政府的承包商發動攻擊,以竊取與軍事及能源技術相關的機密資訊。

Hidden Cobra假借國防承包商的名義,寄出了求才電子郵件,以誘導使用者開啟惡意文件。在CISA所收到的攻擊樣本中,有4個Word的Open XML(. docx)檔案,兩個DLLs檔案,其中,. docx檔案企圖連結外部網域以下載惡意程式,而DLLs檔案則是用來安裝與執行木馬程式,並允許駭客自遠端操控木馬。

此外,由駭客所掌控的命令暨控制伺服器,是架設在已被該集團入侵的、不同國家的基礎設施上,藉以掩人耳目。

分析顯示,Blindingcan能夠取得所安裝磁碟的資訊,包括磁碟類型及可用空間,也能建立、開始或終止新程序,或是搜尋、寫入、移動與刪除檔案,還能變更檔案或目錄的時間戳,修改檔案或程序的目錄,還能刪除自己的蹤跡。

CISA與FBI透過反向工程取得了Blindingcan的詳細資訊,用來提醒其它組織應多加防範。

原文來自 iThome Online