朝鮮黑客一直是世界各大安全公司的重點研究目標，2017年4月底，賽門鐵克就曾發(fā)布過一個報告，認為朝鮮網(wǎng)絡(luò)攻擊集團對世界多國銀行發(fā)動了攻擊，并預(yù)測其竊取資金超過一千億韓元（折合人民幣6.13億元）。

同時，還列出證據(jù)表明，朝鮮網(wǎng)絡(luò)攻擊的目標包括孟加拉國、越南、厄瓜多爾、波蘭等國銀行，目前已經(jīng)從這些國家的銀行盜竊了至少 9400 萬美元。

一年之后，雷鋒網(wǎng)發(fā)現(xiàn)，又一知名安全公司邁克菲（McAfee）也同樣在4月底發(fā)布報告，再次挖出了朝鮮黑客的不少黑料。McAfee 高級威脅研究團隊指出，經(jīng)過長期的跟蹤研究，一項名為 Operation GhostSecret 的大型黑客活動疑似與朝鮮政府支持的黑客組織 Lazarus 有關(guān)，因為攻擊中使用了與該組織有關(guān)的各種工具和惡意程序。

 Lazarus 你是不是聽著有些耳熟？對，就是那個曾對索尼影業(yè)公司進行摧毀性攻擊、從孟加拉央行盜取8100萬美元、被認為是 WannaCry 的重要幕后黑手的黑客團伙 Lazarus 。

研究人員最初以為， Operation GhostSecret 只是 3 月初發(fā)生在幾個土耳其金融機構(gòu)和政府組織的大規(guī)模網(wǎng)絡(luò)攻擊，但 McAfee 的報告顯示，這個攻擊實際上波及了 17 個國家。背后攻擊者瞄準關(guān)鍵基礎(chǔ)設(shè)施、娛樂、金融、醫(yī)療保健和電信等多個行業(yè)，竊取業(yè)內(nèi)敏感數(shù)據(jù)，目前依舊活躍。

這個判斷并非是空穴來風的推測，而是有了實錘，這個實錘就是找到了黑客所用的服務(wù)器的藏身之地！

據(jù)外媒 SecurityAffairs 的消息，泰國當局在 ThaiCERT（相當于泰國的國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心）與邁克菲（McAfee）的協(xié)助下，找到了朝鮮 APT 組織 Hidden Cobra 使用的服務(wù)器。

泰國當局發(fā)現(xiàn)，這臺服務(wù)器居然藏在一所泰國大學里，2014 年朝鮮黑客就借助這臺服務(wù)器讓索尼影業(yè)大量郵件和電影拷貝曝光。

在今年的 3 月 15 日至 19 日，美國、澳大利亞、日本和中國的服務(wù)器多次受到感染。泰國近 50 臺服務(wù)器更是受到惡意軟件的嚴重打擊，是所有國家中受到攻擊最嚴重的，也是出自這個服務(wù)器。

據(jù)悉，該服務(wù)器當年是 Hidden Cobra 發(fā)動 GhostSecret 攻擊時的指揮和控制中樞。如果沒有邁克菲專家在全球范圍內(nèi)的不懈分析與調(diào)查，這臺服務(wù)器恐怕還安靜的躺在泰國那所大學中。

我們對 GhostSecret 攻擊的調(diào)查顯示，黑客當時用了多個惡意軟件進行植入，其中包括性能與 Bankshot 類似的軟件。在 3 月 18 日到 26 日的調(diào)查中，我們發(fā)現(xiàn)惡意軟件其實分布在全球多個地方，這種新型變種在許多地方都與惡意軟件 Destover 類似，后者就是 2014 年讓索尼營業(yè)元氣大傷的罪魁禍首。

McAfee 在對控制服務(wù)器設(shè)施進行進一步調(diào)查后發(fā)現(xiàn)，與控制服務(wù)器203[.]131[.]222[.]83 捆綁的 SSL 證書 d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76 在 2018 年 2 月的一次植入中也用到了，而這臺服務(wù)器屬于泰國法政大學。索尼影業(yè)被攻擊后，Hidden Cobra 就一直在使用這一 SSL 證書。

泰國是 Destover 變種感染的重災(zāi)區(qū)

雷鋒網(wǎng)發(fā)現(xiàn)，ThaiCERT 發(fā)布的一份安全公告指出，GhostSecret 攻擊今年 2 月份重出江湖。邁克菲也發(fā)現(xiàn)了三個屬于法政大學的 IP 地址（203.131.222.95、203.131.222.109、203.131.222.83），它們與攻擊脫不了干系。

可怕的是，現(xiàn)在這場攻擊還處在進行時。

邁克菲表示，GhostSecret 是一場全球范圍的數(shù)據(jù)偵查項目，它針對的是關(guān)鍵基礎(chǔ)設(shè)施、娛樂、金融、醫(yī)療保健和通訊等。攻擊背后的黑客用上了多種植入物、工具和惡意軟件變種，其手法與當年的 Hidden Cobra 如出一轍。

與此同時，McAfee 高級威脅研究團隊還發(fā)現(xiàn)了一個未登記在案的植入物 Proxysvc，2017 年年中它就開始偷偷禍害別人了。

眼下，ThaiCERT 正聯(lián)合當?shù)卣c邁克菲分析這臺服務(wù)器中的內(nèi)容，不知它們是否還能挖出什么驚天大秘密。

雷鋒網(wǎng) Via. SecurityAffairs

相關(guān)文章：探秘 | 比朝鮮核武器更炸裂更神秘的，是朝鮮黑客部隊

朝鮮 Lazarus 團伙黑客工具分析

朝鮮網(wǎng)絡(luò)作戰(zhàn)部隊已達6800人，個個水平高超，韓國恐慌

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。