纳乔切斯
来自朝鲜的最臭名昭著的黑客组织称为APT38(高级持久威胁)。它们也以别名Lazarus闻名,并且已经活跃了一段时间。众所周知,APT38黑客组织正在为朝鲜政府服务,他们的工作集中在促进朝鲜在全球范围内的利益。被政府雇用的大多数黑客组织倾向于以比较保守的方式运作,并确保它们不会对目标系统造成不必要的损害。但是,APT38小组对这种预防措施没有兴趣,有时可能会完全破坏一个已渗透的系统,这对其并不重要。美国联邦调查局甚至招募了一些APT38成员。
接管系统的命令行
NACHOCHEESE威胁是APT38黑客工具库的一部分,尽管它可能不是最复杂的威胁之一,但它可以证明是战役中的关键工具。该恶意软件是一种命令行黑客工具,APT38集团会将其作为第二阶段的有效负载植入受感染的系统。 NACHOCHEESE恶意软件允许攻击者通过控制系统命令行来在受感染主机上执行远程命令。
APT38尝试欺骗研究人员
NACHOCHEESE威胁的一个有趣特征是其代码的某些部分用非常糟糕的俄语编写。 APT38可能试图混淆网络安全专家,并可能误导他们以为NACHOCHEESE的后门起源于俄罗斯而不是朝鲜。在处理由APT38造成的威胁时,这是一个经常发生的主题。在过去的活动中,恶意软件研究人员发现了用中文,俄语和伊朗语编写的代码行。 APT38喜欢使用的另一个技巧是在受感染的主机上部署单独的,易于检测的威胁。这可以帮助NACHOCHEESE长时间不被注意。
由于APT38由政府资助,其威胁活动可能会在未来继续,并且我们将继续看到这个臭名昭著的黑客组织造成的新威胁。
