美国政府警告,朝鲜的HOPLIGHT恶意软件很强大!

作者:   杭州安恒信息技术股份有限公司广州分公司 2019/04/12 13:55:42 188次阅读 国际
文章来源:https://www.easyaq.com/news/2147306936.shtml

        据外媒报道,美国政府发布了一项安全警告,称朝鲜黑客使用了一种新的恶意软件,是一个非常强大的后门木马,美国政府将其命名为HOPLIGHT。
国土安全部(DHS)和联邦调查局(FBI)的恶意软件分析师共同发布了这份报告,认为HOPLIGHT恶意软件归属于朝鲜黑客组织HIDDEN COBRA。


5bdb393076df0934b36907bdfec33142.png


        该恶意软件会在受感染的系统上收集信息,并将数据发送到远程服务器,还可以接收命令以控制服务器,在受感染的主机上执行各种操作。
        报告显示,HOPLIGHT可以读取、写入和移动文件;列举系统驱动;创建和终止流程;将代码注入正在运行的进程;创建、启动和停止服务;修改注册表设置;连接到远程主机;上传和下载文件。此外。恶意软件还使用了一个内置的代理应用程序来隐藏它与远程命令与控制服务器的通信。


43774146e612277a63c0c6efcaac3cf3.png


        DHS和FBI的分析师表示,这些代理能使用有效的公共SSL证书生成虚假TLS握手会话,隐藏与远程恶意参与者的网络连接。报告中还包括与恶意软件相关的9个文件的数宇签名,这些文件都不曾出现在VirusTotal上。
        美国国土安全部网络安全和基础设施安全局(CISA)的一名官员表示,HOPLIGHT恶意软件的变种是全新的,在此前还未公开发布过。在全球范围内,已有大量使用HOPLIGHT的迹象。

d909b7a9f089b8a41181a2df8a2f986d.png


        HOPLIGHT报告是DHS和FBI关于朝鲜恶意软件的第十六份报告。DHS和FBI此前发布了关于WannaCry、DeltaCharlie(两份报告)、Volgmer、FALLCHILL、BANKSHOT、BADCALL、HARDRAIN、SHARPKNOT、一个未命名的remote访问木马/蠕虫、Joanap和Brambul、TYPEFRAME、KEYMARBLE和FASTCash(两份报告)的报告。
        CISA建议观察到恶意活动的人员及时向NCCIC或FBI Cyber Watch报告。




指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室