一种被称为ELECTRICFISH的恶意软件应用程序已经被发现，并被认为与朝鲜黑客组织Lazarus有关。通过联邦调查局(FBI)和国土安全部(DHS)之间的联合分析行动发现，ELECTRICFISH窃取受感染系统的信息并将其反馈给指定的服务器。

根据发布的恶意软件分析报告(MAR)，恶意软件似乎更倾向于监控，主要目的是实现“允许流量在源和目标Internet协议(IP)地址之间流动的自定义协议”。由政府机构。

该恶意软件是在跟踪该组织时发现的，在MAR中被称为HIDDEN COBRA，但同一组也有名称Lazarus，Guardians of Peace和ZINC--负责许多网络攻击和抢劫的组织，包括WannaCry。

ElectricFish是CISA和FBI发布的一系列关于朝鲜政府称为隐藏眼镜蛇的恶意网络活动的最新警报。在此处了解更多信息：https：//t.co/jLV6DpPLkb

- 网络安全(@cyber)，2019年5月9日

恶意软件通过实现自定义协议来工作，然后使用代理服务器/端口和代理用户名和密码进行配置，并根据报告：“此功能允许连接到位于代理服务器内的系统，这允许参与者绕过受损系统所需的身份验证，以便到达网络外部。“

在因特网上使用代理服务器作为用户和网页之间的网关。服务器提供防火墙和Web过滤器以防范威胁，但ELECTRICFISH通过直接连接到受害者的IP地址来避免代理服务器，从而允许黑客泄露信息和网络流量。

美国联邦调查局和国土安全部已经决定分发MAR“以实现网络防御并减少对朝鲜政府恶意网络活动的影响”。

Cyber​​eason的首席安全官Sam Curry提供了不同的观点。他认为MAR的分布是由于经济因素造成的，试图扼杀朝鲜人可能从这场据称受国家支持的袭击中获得的任何收入。

他说：“政府发布了有关恶意软件的信息，以便朝鲜人无法继续使用和货币化它 - 就像把头砍掉蛇一样。”“作为一个国家，朝鲜是一个非常贫穷的国家，他们的民族国家黑客攻击能力有助于为预算提供资金。”

MAR概述了系统管理员要遵循的一些后续步骤，以确保他们的系统免受ELECTRICFISH恶意软件的侵害。

除了通常的防病毒更新，强制执行强密码实践和更新操作系统指南之外，该报告还建议管理员在组织的计算机上启用个人防火墙，配置为拒绝未经请求的连接请求。

管理员还应禁用工作站上的任何不必要的服务，扫描可疑的电子邮件附件并扫描从Web下载的所有软件。