近日，美國計算機安全應急響應組（CERT）發布了一條罕見的警戒通知（ TA17-164A ），內容有關一支朝鮮政府支持的黑客組織，名為“隱藏眼鏡蛇”（Hidden Cobra，商業公司報告將該黑客組織稱為Lazarus Group或Guardians of Peace）。

美國聯邦調查局（FBI）和國土安全局（DHS）聯合發布了一份報告，提供了“DeltaCharlie”的詳細信息，“DeltaCharlie”是“隱藏眼鏡蛇”黑客組織在全球范圍內發起DDoS僵尸網絡攻擊所使用的惡意軟件。

報告指出，“隱藏眼鏡蛇”是朝鮮政府支持的黑客組織，曾參與18國的一系列銀行盜竊案，涉案金額多達幾十億美元。并且自2009年以來針對美國乃至全球的媒體、航空航天、金融和關鍵基礎設施行業進行網絡攻擊。

雖然報告中，美國政府將該朝鮮黑客組織稱為“隱藏眼鏡蛇”（Hidden Cobra），但是此前的商業報告中習慣稱其為“Lazarus Group”以及“Guardians of Peace”——該組織據稱與導致全球醫院和企業淪陷的WannaCry勒索軟件有關。

DeltaCharlie – DDoS僵尸網絡惡意軟件

這份技術報告中確定了與DeltaCharlie相關的IP地址（構成“隱藏眼鏡蛇”僵尸網絡基礎設施的一部分），DHS和FBI認為，DeltaCharlie是該朝鮮黑客組織對其目標發動分布式拒絕服務（DDoS）攻擊時所使用的DDoS工具。DeltaCharlie能夠對其目標啟動各種DDoS攻擊，包括域名系統（DNS）攻擊、網絡時間協議（NTP）攻擊以及字符生成協議（CGP）攻擊等。

該僵尸網絡惡意軟件能夠在受感染的系統上下載可執行文件，更新自己的二進制文件，實時更改自己的配置，終止其進程，以及激活和終止DDoS攻擊。

但是，需要說明的，DeltaCharlie DDoS惡意軟件并不是什么剛發現的新型工具。它最初出現在安全分析公司Novetta 2016年發布的重磅炸彈行動（ Operation Blockbuster ）報告中。該報告將這種工具描述為繼DeltaAlpha和DeltaBravo之后，朝鮮黑客組織使用的第三個僵尸網絡惡意軟件。

分析發現，“隱藏眼鏡蛇”組織使用的其他惡意軟件還包括Destover、Wild Positron或Duuzer以及功能復雜的Hangman，其功能包括DDoS僵尸網絡、鍵盤記錄器、遠程訪問工具（RAT）以及數據清理惡意軟件等。

“隱藏眼鏡蛇”最喜歡的漏洞

自2009年以來，“隱藏眼鏡蛇”攻擊的對象通常都是運行舊版本（不受Microsoft官方補丁支持）的操作系統，或是利用Adobe Flash Player軟件漏洞作為入侵受害者設備的切入口。

以下就是“隱藏眼鏡蛇”組織喜歡用于影響各種應用程序的已知漏洞：

CVE-2015-6585：韓語文字處理器漏洞 CVE-2015-8651: Microsoft Silverlight漏洞 CVE-2016-0034: Adobe Flash Player 18.0.0.324 和19.x 漏洞 CVE-2016-1019: Adobe Flash Player 21.0.0.197漏洞 CVE-2016-4117: Adobe Flash Player 21.0.0.226 漏洞