美国国土安全部网络安全及基础架构安全局(CISA)与联邦调查局(FBI),本周共同发布恶意程序分析报告,指出名为Blindingcan的恶意程序为朝鲜黑客集团Hidden Cobra所开发的远程访问木马(Remote Access Trojan,RAT),锁定美国政府的承承包商发动攻击,以窃取与军事及能源技术相关的机密信息。
Hidden Cobra假借国防承承包商的名义,发送了招聘电子邮件,以诱导用户打开恶意文件。在CISA所收到的攻击样本中,有4个Word的Open XML(. docx)文件,两个DLLs文件,其中,. docx文件企图连接外部域名以下载恶意程序,而DLLs文件则是用来安装与执行木马程序,并允许黑客自远程操控木马。
此外,由黑客所掌控的命令暨控制服务器,是架设在已被该集团入侵的、不同国家的基础设施上,借以掩人耳目。
分析显示,Blindingcan能够取得所安装磁盘的信息,包括磁盘类型及可用空间,也能创建、开始或终止新程序,或是搜索、写入、移动与删除文件,还能变更文件或目录的时间戳,修改文件或程序的目录,还能删除自己的踪迹。
CISA与FBI通过反向工程取得了Blindingcan的详细信息,用来提醒其它组织应多加防范。