最近，隐藏的Cobra APT威胁的参与者通过混淆恶意软件攻击了日本组织。该恶意软件下载并管理所有模块，然后将其作为.drv文件保存在C：\ Windows \ System32 \等文件夹中，并作为辅助工具运行。隐藏式眼镜蛇，又称拉撒路（Lazarus），是朝鲜APT黑客组织，自2009年以来就参与了世界各地政府和私营部门的各种知名网络攻击。

Cobra APT Cobra APT黑客远程攻击了SMB
恶意软件混乱

这是一种使文本和二进制数据无法接受的方法。它允许威胁参与者隐藏所有关键字符串；它是一个显示恶意软件行为的程序。这种类型的字符串将被签名为密钥和受感染的URL。在这种情况下，威胁参与者使用VMProtect来混淆服务。在这种类型的恶意软件中，攻击者使用加密/编码方法来隐藏安全程序中的所有数据。在某些情况下，协商会更进一步，并使用一些称为“打包程序”的特殊工具来混淆整个程序，这将使向后的计划和解释更加复杂。
配置存储在哪里？

已加密恶意软件（大小：0x6DE）的配置，并将其收集在注册表记录中，并在执行期间进行排列。在此分析中，确认配置已收集在最终目录中：

键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceseventlogApplication

根据jpcert报告，恶意软件中的所有字符串都使用AES128加密，这就是为什么加密密钥在这种类型的恶意软件中被硬编码的原因。此外，Windows API标题也由AES加密。稍后，当它解密API字符串时，它将确定由LoadLibrary和GetProcAddress命名的API的地址。

模块下载

下载模块后，它将执行一些主要功能，就像从C＆C服务器获取命令一样。以下模块执行七个操作：

文件操作（创建列表，删除，复制，修改创建时间）
进程中的操作（创建列表，执行，终止）
上传/下载文件
创建和上传ZIP目录中的文件
执行任何Shell命令
获取磁盘信息
修改系统时间

此外，安全专家仍在调查拉撒路和宣布这一行为的许多组织所进行的活动。专家还声称，可以在多个国家看到这种攻击。如果无法尽快解决，那么日本将再次发生类似的攻击。</ p>

最后，攻击者使用Python工具“ SMBMAP”传播了感染并使用了帐户信息。该工具通过Pyinstaller将其转换为Windows PE文件后，便可以通过SMB访问远程主机。

以上文章部分内容采集于网络，如有侵权请联系未来云客服处理，谢谢！