美国网络司令部警告朝鲜APT拉撒路集团恶意软件攻击

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

两个月内第二次公开恶意软件细节

2019年8月15日，美国网络司令部再次在VirusTotal安全仓库中上传了与朝鲜黑客组织拉撒路集团（Lazarus Group）相关的恶意软件样本。这是两个月内第二次此类行动，旨在通过信息共享来增强私营部门对网络安全威胁的防范能力。

拉撒路集团：金融动机的高级持续性威胁

拉撒路集团是一个伞形名称，通常用来描述那些推进平壤利益的黑客活动。该组织尤其以其金融动机而闻名，包括滥用全球银行间金融电信协会（SWIFT）的资金转账系统以及攻击银行。CrowdStrike的情报副总裁亚当·迈耶斯指出，拉撒路集团曾多次针对金融机构进行攻击，以获取资金支持其政权。

恶意软件样本分析

此次上传的两个恶意软件样本之一是DLL（动态链接库），通常是恶意软件的一部分；另一个是可执行文件，可以独立运行。卡巴斯基首席高级安全研究员布莱恩·巴索洛缪表示，其中一个可执行文件似乎就是FBI和国土安全部在5月份警告过的ELECTRICFISH恶意软件。

ELECTRICFISH：这种工具允许攻击者将受害者作为跳板，通过隧道传输流量。

Fake TLS代理工具：另一种工具使用伪造的TLS加密来掩盖其活动，功能类似于ELECTRICFISH，但实现方式不同。

FireEye情报分析总监约翰·赫尔奎斯特表示，这些样本可能与APT38有关，这是一个专注于盗取资金并使用破坏性恶意软件的朝鲜黑客组织。

信息共享的新常态

美国网络司令部此次行动是其持续参与战略的一部分，旨在通过与网络安全行业和公共部门的合作来提高全球安全水平。此前，网络司令部还曾分享过与伊朗相关的恶意软件样本。

政府信息共享计划的成熟

随着联邦政府更广泛的信息共享计划日益成熟，网络司令部在上一次发布时就提前通知了国土安全部，并向私营部门提供了预警。此次同样如此，Cyber Threat Alliance成员（包括赛门铁克、McAfee、Palo Alto Networks和思科等公司）在周一收到了TLP Amber警报，这意味着这些信息只能在相关方之间共享，不得公之于众。

Cyber Threat Alliance的尼尔·詹金斯表示，联盟成员能够在网络司令部公开标记这些恶意软件之前准备好防护措施，从而有效保护客户免受攻击。

朝鲜制裁背景下的网络攻击

近年来，由于国际社会对朝鲜实施的严厉制裁，朝鲜政府面临严重的财政困境。为了绕过这些制裁并获得资金支持其武器项目，拉撒路集团加大了对金融机构和加密货币交易所的攻击力度。最近泄露的一份联合国报告称，朝鲜已通过35次网络攻击窃取了约20亿美元的资金，用于资助其武器计划。

结论

美国网络司令部的这一举措不仅提高了公众对朝鲜黑客活动的认识，也为私营部门提供了宝贵的防护信息。在全球网络安全形势愈发严峻的情况下，加强国际合作与信息共享显得尤为重要。企业和个人应密切关注这些安全更新，并采取相应的防护措施，以应对不断演变的网络威胁。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：美国网络司令部警告朝鲜APT拉撒路集团恶意软件攻击