近日，美國計算機安全應急響應組（CERT）發(fā)布了一條罕見的警戒通知（ TA17-164A ），內(nèi)容有關(guān)一支朝鮮政府支持的黑客組織，名為“隱藏眼鏡蛇”（Hidden Cobra，商業(yè)公司報告將該黑客組織稱為Lazarus Group或Guardians of Peace）。

美國聯(lián)邦調(diào)查局（FBI）和國土安全局（DHS）聯(lián)合發(fā)布了一份報告，提供了“DeltaCharlie”的詳細信息，“DeltaCharlie”是“隱藏眼鏡蛇”黑客組織在全球范圍內(nèi)發(fā)起DDoS僵尸網(wǎng)絡(luò)攻擊所使用的惡意軟件。

報告指出，“隱藏眼鏡蛇”是朝鮮政府支持的黑客組織，曾參與18國的一系列銀行盜竊案，涉案金額多達幾十億美元。并且自2009年以來針對美國乃至全球的媒體、航空航天、金融和關(guān)鍵基礎(chǔ)設(shè)施行業(yè)進行網(wǎng)絡(luò)攻擊。

雖然報告中，美國政府將該朝鮮黑客組織稱為“隱藏眼鏡蛇”（Hidden Cobra），但是此前的商業(yè)報告中習慣稱其為“Lazarus Group”以及“Guardians of Peace”——該組織據(jù)稱與導致全球醫(yī)院和企業(yè)淪陷的WannaCry勒索軟件有關(guān)。

DeltaCharlie – DDoS僵尸網(wǎng)絡(luò)惡意軟件

這份技術(shù)報告中確定了與DeltaCharlie相關(guān)的IP地址（構(gòu)成“隱藏眼鏡蛇”僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分），DHS和FBI認為，DeltaCharlie是該朝鮮黑客組織對其目標發(fā)動分布式拒絕服務（DDoS）攻擊時所使用的DDoS工具。DeltaCharlie能夠?qū)ζ淠繕藛�動各種DDoS攻擊，包括域名系統(tǒng)（DNS）攻擊、網(wǎng)絡(luò)時間協(xié)議（NTP）攻擊以及字符生成協(xié)議（CGP）攻擊等。

該僵尸網(wǎng)絡(luò)惡意軟件能夠在受感染的系統(tǒng)上下載可執(zhí)行文件，更新自己的二進制文件，實時更改自己的配置，終止其進程，以及激活和終止DDoS攻擊。

但是，需要說明的，DeltaCharlie DDoS惡意軟件并不是什么剛發(fā)現(xiàn)的新型工具。它最初出現(xiàn)在安全分析公司Novetta 2016年發(fā)布的重磅炸彈行動（ Operation Blockbuster ）報告中。該報告將這種工具描述為繼DeltaAlpha和DeltaBravo之后，朝鮮黑客組織使用的第三個僵尸網(wǎng)絡(luò)惡意軟件。

分析發(fā)現(xiàn)，“隱藏眼鏡蛇”組織使用的其他惡意軟件還包括Destover、Wild Positron或Duuzer以及功能復雜的Hangman，其功能包括DDoS僵尸網(wǎng)絡(luò)、鍵盤記錄器、遠程訪問工具（RAT）以及數(shù)據(jù)清理惡意軟件等。

“隱藏眼鏡蛇”最喜歡的漏洞

自2009年以來，“隱藏眼鏡蛇”攻擊的對象通常都是運行舊版本（不受Microsoft官方補丁支持）的操作系統(tǒng)，或是利用Adobe Flash Player軟件漏洞作為入侵受害者設(shè)備的切入口。

以下就是“隱藏眼鏡蛇”組織喜歡用于影響各種應用程序的已知漏洞：

CVE-2015-6585：韓語文字處理器漏洞 CVE-2015-8651: Microsoft Silverlight漏洞 CVE-2016-0034: Adobe Flash Player 18.0.0.324 和19.x 漏洞 CVE-2016-1019: Adobe Flash Player 21.0.0.197漏洞 CVE-2016-4117: Adobe Flash Player 21.0.0.226 漏洞