朝鲜隐秘眼镜蛇携HOPLIGHT恶意软件袭击美国目标

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，美国国土安全部警告称，一种名为HOPLIGHT的新型间谍软件正积极针对美国公司和政府机构发起攻击。该恶意软件是由朝鲜政府支持的黑客组织——隐秘眼镜蛇（Hidden Cobra，又称拉撒路集团）开发的。

HOPLIGHT：伪装与控制的艺术

根据美国计算机应急响应小组（US-CERT）本周发布的警报，共有九种不同的可执行文件被用来传播这种恶意软件。这些文件使用了有效的数字证书来绕过基础的反病毒措施，并通过加密连接与它们的命令与控制服务器通信。值得注意的是，这些证书来自韩国最大的搜索引擎Naver.com，这使得恶意软件能够更加隐蔽地进行活动。

“其中七个文件是代理应用程序，用于掩盖恶意软件与远程操作者之间的流量。”警报中提到，“这些代理能够生成伪造的TLS握手会话，利用有效的公共SSL证书，以此来伪装与远程恶意行为者的网络连接。”

此外，其中一个文件还包含一个公开的SSL证书，而文件的有效载荷似乎用密码或密钥进行了编码；剩下的文件虽然不包含任何公开的SSL证书，但试图建立出站连接并在目标系统上放置四个额外文件，这些文件包含了IP地址及SSL证书。

HOPLIGHT的能力与威胁

HOPLIGHT是一款定制化的全功能间谍软件，它不仅能够收集系统信息并外泄文件和数据，还能向各种进程注入代码，并下载额外的恶意软件。这意味着它可以用来干扰正常的业务运营，甚至破坏系统和文件。据警告显示，至少有15个不同的IP地址与HOPLIGHT的基础设施有关联。

尽管警报中没有提到这些可执行文件是如何传播的，但这一系列复杂的操作表明，隐秘眼镜蛇/拉撒路集团一直在不断更新其恶意软件策略，以更有效地针对敏感和专有信息。

隐秘眼镜蛇的历史行动

这个朝鲜黑客组织长期以来一直是美国企业的棘手问题。例如，去年他们使用了两种自定义的恶意软件家族对美国资产进行攻击：一种是被称为Joanap的远程访问工具（RAT），另一种则是名为Brambul的SMB蠕虫。两者都是经过更新的老代码，目的是更有效地窃取重要信息。

同样在去年，泰国计算机应急响应团队（ThaiCERT）查获了一台由该APT组织运作的服务器，该服务器属于用于控制全球GhostSecret间谍活动网络的一部分。McAfee当时警告说，GhostSecret活动正在对包括关键基础设施、娱乐、金融、医疗保健和电信在内的多个行业的大量企业进行数据侦察，影响范围涉及至少17个国家。

此外，该组织还被指与2014年索尼影业黑客事件以及SWIFT银行系统攻击等臭名昭著的案件有关。

如何防范？

为了防止此类攻击，用户和管理员应遵循最佳实践，特别是保持最新的补丁和反病毒软件更新；启用工作站防火墙；实施电子邮件和下载扫描以隔离或阻止可疑附件和文件；限制用户安装软件的权限。

结语

随着云计算服务的普及，数据安全面临新的挑战。如何在传统网络边界不再适用的情况下锁定数据？专家们将在4月24日下午2点ET举行的免费Threatpost网络研讨会上讨论这些问题，敬请期待。

面对朝鲜隐秘眼镜蛇这样的高级持续性威胁，企业和个人都必须提高警惕，加强网络安全防护，确保自身的信息安全不受侵害。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜隐秘眼镜蛇携HOPLIGHT恶意软件袭击美国目标