最近，隐藏的Cobra APT威胁的参与者通过混淆恶意软件攻击了日本组织。该恶意软件下载并管理所有模块，然后将其作为.drv文件保存在C：\ Windows \ System32 \等文件夹中，并作为辅助工具运行。隐藏式眼镜蛇，又称拉撒路（Lazarus），是朝鲜APT黑客组织，自2009年以来就参与了世界各地政府和私营部门的各种知名网络攻击。

Cobra APT黑客远程攻击SMB

恶意软件混淆

这是一种使文本和二进制数据无法接受的方法。它允许威胁参与者隐藏所有关键字符串；它是一个显示恶意软件行为的程序。这种类型的字符串将被签名为密钥和受感染的URL。在这种情况下，威胁参与者使用VMProtect来混淆服务。在这种类型的恶意软件中，攻击者使用加密/编码方法来隐藏安全程序中的所有数据。在某些情况下，协商会更进一步，并使用一些称为“打包程序”的特殊工具来混淆整个程序，这将使向后的计划和解释更加复杂。

配置存储在哪里？

已加密恶意软件（大小：0x6DE）的配置，并将其收集在注册表记录中，并在执行期间进行排列。在此分析中，确认配置已收集在最终目录中：

键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceseventlogApplication

根据jpcert报告，恶意软件中的所有字符串都使用AES128加密，这就是为什么加密密钥在这种类型的恶意软件中被硬编码的原因。此外，Windows API标题也由AES加密。稍后，当解密API字符串时，它将确定由LoadLibrary和GetProcAddress命名的API的地址。

模块下载 

下载模块后，它将执行一些主要功能，就像从C＆C服务器获取命令一样。并由以下模块执行七种操作：

• 对文件的操作（创建列表，删除，复制，修改创建的时间）
• 对进程的操作（创建列表，执行，终止）
• 上传/下载文件
• 创建并上传任意目录的ZIP文件
• 执行任意的shell命令
• 获取磁盘信息
• 修改系统时间

    此外，安全专家仍在调查拉撒路和宣布这一行为的许多组织所进行的活动。专家还声称，可以在多个国家看到这种攻击。如果无法尽快解决，那么日本将再次发生类似的攻击。

最后，攻击者借助Python工具“ SMBMAP ” 传播了感染并利用了帐户信息，该工具在通过Pyinstaller将其转换为Windows PE文件后，可以通过SMB访问远程主机。