近日一直緊咬北韓的美國政府又發布了相關報告。繼去年之後，周二美國網路安全暨基礎架構安全署（Cybersecurity and Infrastructure Security Agency，CISA）、聯邦調查局（FBI）及國防部（DoD）聯合發布三份惡意軟體分析報告，揭露北韓政府用來攻擊其他國家的最新惡意程式。

每份報告列出了技術細節、建議的因應行為和緩解之道。這三支惡意程式分別是遠端存取工具（Remote Access Tool） Copperhedge，及Taintedscribe和Pebbledash兩隻木馬程式。美國政府相信3隻惡意程式都被代號為Hidden Cobra（又名Lazarus、Guardians of Peace或Zinc）的北韓國家級駭客用來發動攻擊。

其中Copperhedge又名Manuscrypt RAT，專門為APT駭客用來攻擊加密貨幣交易平臺和類似單位，是一支功能完備的RAT，可執行任意指令、系統偵查、外洩資料等，研究人員已經發現6隻變種。

Taintedscribe和Pebbledash兩隻木馬很像，都使用FakeTLS協定作為流量驗證，但前者使用Linear Feedback Shift Register (LFSR)演算法從事網路加密，後者則使用RC4作網路加密。此外，兩者都具備從C&C伺服器下載、上傳檔案、刪除及執行檔案、允許Windows CLI存取、建立和終結程序和執行目標系統列舉（system enumeration）的能力。研究人員還發現Taintedscribe主要執行檔，會冒充微軟的朗誦程式引誘用戶啟動。

美國政府宣稱Hidden Cobra/ Lazarus 犯行累累，包括2014年入侵索尼影業（Sony Picture）網路及駭入電腦恐嚇、盜轉孟加拉央行1億美金，以及撰寫出2017年癱瘓全球電廠、機場和醫院的WannaCry。上個月祭出500萬美元，要求各方提供北韓駭客及其駭客行動的資訊。