新闻快讯
< >

DHS、FBI联合发布警告:警惕朝鲜黑客组织Lazarus Group

E安全11月16日讯 美国国土安全部(DHS)和联邦调查局(FBI)当地时间11月14日发布联合警告,称朝鲜黑客组织Lazarus Group使用名为“FALLCHILL”的远程管理工具(RAT)入侵航空、电信和金融行业的公司。

DHS、FBI联合发布警告:警惕朝鲜黑客组织Lazarus Group-E安全

FALLCHILL远程管理工具

DHS和FBI在警告中将FALLCHILL描述为“一款功能齐全的RAT,攻击者可通过双重代理从命令与控制服务器(C&C Server)向受害者系统发出多项命令”。

美国称该朝鲜黑客组织为“Hidden Cobra”(Lazarus Group)。Lazarus Group曾发动过几起臭名昭著的攻击,包括攻击索尼影业、孟加拉国中央银行和波兰金融机构。也有专家推断,今年5月肆虐全球的WannaCry勒索软件攻击也与该黑客组织有关联。美国政府称能够确定FALLCHILL的基础设施使用的83个网络节点。

QQ截图20171115182317.jpg


在另一份独立的警告中,DHS和FBI公开了与“Volgmer ”后门木马有关的IP地址列表和其它攻击指示器(IOC),该后门木马旨在秘密访问被感染系统。DHS表示,至少有94个静态IP地址与Volgmer的基础设施有关,而动态IP地址在多国注册。

动态IP地址注册地址分布如下:

  • 印度 (772 个IP地址) 25.4%;

  • 伊朗 (373个IP地址) 12.3%;

  • 巴基斯坦 (343个IP地址) 11.3 %;

  • 中国 (251个IP地址,其中台湾地区169个IP地址)8.3 %;

  • 沙特阿拉伯 (182个IP地址) 6 %;

  • 泰国(140个IP地址) 4.6 %;

  • 斯里兰卡 (121个IP地址) 4 %;

  • 越南 (80个IP地址) 2.6 %;

  • 印度尼西亚 (68个IP地址) 2.2 %;

  • 俄罗斯 (68个IP地址) 2.2 %。

DHS表示,Lazarus Group自2013年以来(甚至更早)一直使用Volgmer恶意软件攻击政府、金融、汽车和媒体行业。鱼叉式网络钓鱼似乎是Volgmer后门木马的主要传送机制,但Lazarus Group可能还使用一套自定义工具入侵系统。

相关阅读:

朝鲜黑客加大对美国国防部攻击力度,窃取武器系统及知识产权
朝鲜黑客入侵韩国造船和海洋公司,窃取4万份军事机密及军舰蓝图
朝鲜黑客或利用反病毒软件窃取美韩国防机密
朝鲜黑客入侵韩国军方电脑,窃取美韩机密应战计划
外媒:朝鲜黑客组织持续针对爱尔兰基础设施展开攻击活动
韩国指责:朝鲜黑客袭击了4个首尔的虚拟货币交易所窃取比特币

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。