美国政府揭露APT38新型后门恶意软件，可自动消除入侵痕迹

美国政府机构今日发布一份恶意软件分析报告，揭露了朝鲜黑客攻击政府承包商过程中使用的远程访问木马恶意软件。该恶意软件由美国CISA和FBI发现，被称为BLINDINGCAN。

CISAO和FBI认为该木马源自朝鲜政府支持的黑客组织HIDDEN COBRA（又名Lazarus或APT38）。

恶意软件可消除入侵痕迹

根据发布的报告，RAT具有“远程操作内置功能，攻击者可在目标系统进行更多其他操作。”

“CISA收到了四份Microsoft Word开放可扩展标记语言（XML）文档（.docx），两个动态链接库（DLL），.docx文件尝试连接到外部域进行下载。提交了32位和64位DLL，分别安装了名为'iconcache.db'的32位和64位DLL。iconcache.db'解压缩并执行Hidden Cobra RAT的变体。”

BLINDINGCAN 恶意软件还可以自己清除感染系统中的入侵痕迹，避免被检测到以下一些功能：

检索所有已安装磁盘的相关信息，包括磁盘类型和磁盘上的可用空间量；

创建、启动和终止新进程及其主线程；

搜索、读取、写入、移动和执行文件；

获取和修改文件或目录的时间戳记；

更改进程或文件的当前目录；

从受感染的系统中删除恶意软件和与恶意软件相关的工件。

该报告披露了通过逆向工程获取的详细恶意软件信息，美国政府明确指明此次恶意活动由朝鲜政府发起，意图帮助防御该组织恶意软件的攻击活动。

今年5月，已经披露了超过三种的朝鲜相关的恶意软件变体，其中包含远程访问工具比如COPPERHEDGE，用于攻击加密货币交易所。另外两种木马，分别被称为称为TAINTEDSCRIBE和PEBBLEDASH。

美国政府还发布了六则安全公告，其中涵盖二月中旬披露的朝鲜恶意软件信息：

BISTROMATH（功能齐全的RAT），

SLICKSHOES（装有Themida的恶意软件删除程序），

CROWDEDFLOUNDER（远程访问木马加载程序），

HOTCROISSANT（具有后门功能的信标植入程序），

ARTFULPIE（可从硬编码的网址加载并执行DLL的恶意软件）

BUFFETLINE（带有后门功能的信标植入程序）。

在2017年和2018年，朝鲜黑客组织发起的加密货币抢劫案造成了5.71亿美元的经济损失。

2019年，CISA和FBI发布窃取数据的ELECTRICFISH恶意软件信息以及掩盖恶意流量的HOPLIGHT木马详细信息。同年9月，美国财政部签署三项DPRK黑客组织支持团伙（Lazarus, Bluenoroff和Andariel）制裁文件

2020年4月，美国政府发布公告，以500万美元悬赏DPRK黑客团伙的活动信息，包含历史和当前的活动行迹，这一悬赏有助于阻止朝鲜黑客活动并定位查找黑客所在地。更多关于HIDDEN COBRA信息可参考美国国家网络安全部门发布的预警公告。