美國政府機構今天發布了一份惡意軟件分析報告，披露了朝鮮黑客在針對美國政府承包商的攻擊中遠程訪問木馬（RAT）惡意軟件的相關信息。該惡意軟件稱之為“BLINDINGCAN”，已經得到了網絡安全和基礎設施安全局（CISA）和聯邦調查局（FBI）的確認。

這兩個機構表示，該木馬背後的黑客組織有朝鮮政府的資助，追踪到的黑客組織為HIDDEN COBRA（又名Lazarus Group 和APT38）。根據各機構分析，該RAT 自帶”用於遠程操作的內置功能，可在受害者的系統上實現各種功能”。

在警告中寫道：“CISA 共收到4 個Microsoft Word Open Extensible Markup Language (XML)文檔（.docx），兩個動態鏈接庫（DLL）”。此外寫道：“.docx 文檔嘗試連接到外部域中進行下載，提交的32 位/ 64 位DLL 分別安裝名為’iconcache.db’的32 位/ 64 位DLL。DLL ‘iconcache.db’會解壓並執行Hidden Cobra RAT 的功能”。

根據CISA和FBI的惡意軟件分析結果，BLINDINGCAN惡意軟件還可以從被入侵的系統中刪除自己，並清理其痕跡以避免被檢測等功能。

– 檢索所有已安裝磁盤的信息，包括磁盤類型和磁盤上的可用空間量

– 創建、啟動和終止一個新的進程及其主線程。

– 搜索、讀取、寫入、移動和執行文件。

– 獲取和修改文件或目錄的時間戳

– 更改進程或文件的當前目錄

– 從受感染的系統中刪除惡意軟件和與惡意軟件相關的人工製品。