美国政府曝光新型 BLINDINGCAN 恶意程序

美国政府机构今天发布了一份恶意软件分析报告，披露了朝鲜黑客在针对美国政府承包商的攻击中远程访问木马（RAT）恶意软件的相关信息。该恶意软件称之为“BLINDINGCAN”，已经得到了网络安全和基础设施安全局（CISA）和联邦调查局（FBI）的确认。

这两个机构表示，该木马背后的黑客组织有朝鲜政府的资助，追踪到的黑客组织为HIDDEN COBRA（又名Lazarus Group 和 APT38）。根据各机构分析，该 RAT 自带 “用于远程操作的内置功能，可在受害者的系统上实现各种功能”。

在警告中写道：“CISA 共收到 4 个 Microsoft Word Open Extensible Markup Language (XML)文档（.docx），两个动态链接库（DLL）”。此外写道：“.docx 文档尝试连接到外部域中进行下载，提交的 32 位/ 64 位 DLL 分别安装名为 ‘iconcache.db’的 32 位/ 64 位 DLL。DLL ‘iconcache.db’会解压并执行 Hidden Cobra RAT 的功能”。

根据CISA和FBI的恶意软件分析结果，BLINDINGCAN恶意软件还可以从被入侵的系统中删除自己，并清理其痕迹以避免被检测等功能。

（稿源：cnBeta，封面源自网络）