【安全资讯】BLINDINGCAN：来自朝鲜Lazarus的新型远程访问木马

美国政府机构今天发布了一份恶意软件分析报告，报告揭示了朝鲜黑客在针对政府承包商的攻击中使用的远程访问木马（RAT）恶意软件的信息。 该恶意软件由网络安全和基础结构安全局（CISA）和联邦调查局（FBI）识别，被称为BLINDINGCAN。这两个机构将 BLINDINGCAN 归因于北韩政府资助的黑客组织HIDDEN COBRA（又名Lazarus Group和APT38）。

BLINDINGCAN RAT具有“用于远程操作的内置功能，这些功能可在受害者的系统上提供各种功能”。根据CISA和FBI恶意软件的分析结果，BLINDINGCAN恶意软件还可以将自己从受感染的系统中删除并清除其痕迹，从而避免检测到其他功能：  

  •    检索所有已安装的磁盘信息，包括磁盘类型和磁盘上的可用空间量
  •    创建，启动和终止新进程及其主线程
  •    搜索，读取，写入，移动和执行文件
  •    获取和修改文件或目录的时间戳记
  •    更改进程或文件的当前目录
  •    从受感染的系统中删除恶意软件和与恶意软件相关的文件

CISA建议用户和管理员通过以下建议来加强其组织系统的安全状态。在实施之前，任何配置更改都应由系统所有者和管理员审查，以避免不必要的影响。

• -    维护最新的防病毒签名和引擎。
• -    保持操作系统修补程序为最新。
• -    禁用文件和打印机共享服务。如果需要这些服务，请使用强密码或Active Directory身份验证。
• -    限制用户的能力（权限），以安装和运行不需要的软件应用程序。除非需要，否则请勿将用户添加到本地管理员组。
• -    实施严格的密码策略并实施常规密码更改。
• -    在打开电子邮件附件时，请谨慎操作，即使该附件是预期的并且发件人似乎是已知的。
• -    在代理工作站上启用个人防火墙，该工作站被配置为拒绝未经请求的连接请求。
• -    在代理工作站和服务器上禁用不必要的服务。
• -    扫描并删除可疑的电子邮件附件；确保扫描的附件是其“真实文件类型”（即，扩展名与文件头匹配）。
• -    监控用户的网页浏览习惯；限制对内容不利的网站的访问。
• -    使用可移动媒体（例如USB拇指驱动器，外部驱动器，CD等）时，请务必小心。
• -    执行之前，请扫描从Internet下载的所有软件。
• -    保持对最新威胁的态势感知，并实施适当的访问控制列表（ACL）。