朝鲜APT隐秘眼镜蛇更新：朝鲜恶意网络活动的最新动态

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

朝鲜（特别是拉撒路集团）长期以来一直是全球网络安全领域中的一个主要威胁。从2013年的“黑暗首尔”攻击，到2014年对索尼影业的大规模黑客入侵，再到2015年至2016年间针对SWIFT银行系统的系列攻击，以及最近转向商业网络犯罪行动如Trickbot和Anchor，朝鲜的网络攻击手段不断进化。

美国计算机应急响应小组（US-CERT）近期发布了一组新的恶意软件分析报告（MARs），揭露了与朝鲜有关的新发现或更新的恶意软件/植入程序。这些更新为我们提供了朝鲜工具集不断扩大的一瞥。正如我们过去所见，这些工具在复杂性和精巧程度上差异很大。此次更新中提到的大多数家族都是旨在作为远程访问木马（RAT）或类似于Cobalt Strike的信标工具，以实现持久化控制并操纵受感染主机。

BISTROMATH：功能齐全的RAT

BISTROMATH是一种全功能的RAT负载及其关联的CAgent11植入构建器/控制器。这种植入物用于标准系统管理、控制和侦察。初始感染通过一个恶意可执行文件完成。当执行时，嵌入在特洛伊木马中的位图图像会被解码成shellcode，从而加载植入物。网络通信使用XOR加密。BISTROMATH样本以及其他家族都试图通过多种工件检查来逃避常见沙箱环境（如VIRTUALBOX, QEMU, VMware）的检测。

核心功能包括：

文件和进程操作

文件/数据上传/外泄

时间戳修改/伪装

服务启动/停止

CMD shell访问/使用

屏幕截图捕获

麦克风录音

网络摄像头控制

键盘记录

浏览器劫持/表单抓取

缓存凭据的外泄

自我管理（更新/卸载）

HOPLIGHT：流量混淆与重定向

HOPLIGHT是一个代理负载，用于混淆或重新路由受感染主机与命令与控制服务器之间的流量。流量使用SSL加密，并且每个负载都能够生成伪造的SSL证书。分析的样本被Themida打包。其中一个例子（SHA256: d77fdabe17cdba62a8e728cbe6c740e2c2e541072501f77988674e07a05dfb39）由CISA提供，其中包含了一个公开的SSL证书和加密的有效载荷。

SLICKSHOES：加载器/投放器

SLICKSHOES通常用作加载器/投放器。恶意软件将自身写入“C:WindowsWebtaskenc.exe”。单独的进程负责操作和执行投放的可执行文件。SLICKSHOES是一种全信标式植入物（类似于Cobalt Strike）。

它使用定制的编码方法，并具有类似RAT的功能。

文件和进程操作

系统侦察和数据外泄

输入捕捉

命令/进程执行和操作

SLICKSHOES与硬编码的C2地址（188[.]165[.]37[.]168）在TCP端口80上进行通信。通信每隔60秒发生一次。

CROWDEDFLOUNDER：内存驻留RAT

CROWDEDFLOUNDER作为一个内存驻留RAT（32位且被Themida打包）。恶意软件在运行时接受参数，并可以作为服务安装。

CROWDEDFLOUNDER植入物可以与C2进行双向通信，但在上下文中其主要功能似乎是为来自C2的入站连接充当代理。执行后，恶意软件会操纵本地防火墙设置以允许其流量通过。C2流量和数据传输使用旋转XOR加密。

功能包括：

文件和进程操作

系统侦察和数据外泄

输入捕捉

命令/进程执行和操作

HOTCROISSANT：信标式植入物

HOTCROISSANT是一种全信标式（类似于Cobalt Strike风格）植入物，具有类似RAT的功能。网络流量通过XOR编码。C2通信仅限于一个硬编码IP（94.177.123.138:8088）。感染后，受害者信息会被发送到C2。之后，恶意软件监听并响应来自C2的命令。

ARTFULPIE：DLL有效载荷检索与注入

ARTFULPIE负责检索并注入基于DLL的有效载荷。恶意软件包含一个硬编码URL，从中下载附加代码（193[.]56[.]28[.]103）。

BUFFETLINE：全功能信标式植入物

BUFFETLINE是一种全功能信标式植入物，具有类似RAT的功能。

特性包括：

文件和进程操作

系统侦察和数据外泄

CLI状态操作

横向目标定位与枚举

命令/进程执行和操作

分析的样本使用RC4编码和PolarSSL（认证）组合来混淆网络通信。一旦与C2认证成功，木马会发送一系列受害者信息，然后等待进一步互动。

传送的数据包括：

受害者“ID”

植入版本

系统目录位置

硬件详细信息（网络适配器、CPU修订）

操作系统版本/软件环境数据

计算机名称

受害者IP地址

结论

敌对工具集不断演变。高级或国家支持的威胁组织有着快速灵活的开发/发布周期，这反映了合法软件开发的世界。紧跟这些趋势是保护我们的环境免受这些威胁的关键部分。需要一个强大且现代的安全平台（例如SentinelOne Singularity）来从静态和行为两个角度应对这些不断演变的威胁。

随着朝鲜网络攻击手段的日益复杂，企业和个人必须保持警惕，加强安全措施，定期更新防护软件，并提高员工的网络安全意识，以抵御这些不断进化的威胁。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT隐秘眼镜蛇更新：朝鲜恶意网络活动的最新动态