FBI绘制了“Joanap恶意软件”受害者的地图，以破坏朝鲜的僵尸网络

配音乔纳普，僵尸网络被认为是“隐藏眼镜蛇”的一部分；一个高级持续威胁（APT）演员团体，通常被称为Lazarus团体和和平卫士，由朝鲜政府支持。

Hidden Cobra是同一个黑客组织，据称与2016年的WannaCry勒索软件威胁、2016年的SWIFT银行攻击以及2014年的Sony Motion Pictures黑客有关。

Joanap可以追溯到2009年，它是一种远程访问工具（RAT），在一种名为SMB蠕虫的帮助下登陆受害者的系统布拉姆布尔，通过使用常用密码列表强制Windows Server Message Block（SMB）文件共享服务，从一台计算机爬行到另一台计算机。

一到那里，Brambul就在受感染的Windows计算机上下载Joanap，为其主谋打开了一扇后门，让他们可以远程控制受感染的Windows计算机网络。

如果你想打败他们，那就先加入他们

有趣的是，被Joanap僵尸网络感染的计算机不接受集中指挥控制服务器的命令；相反，它依赖于对等（P2P）通信基础设施，使每台受感染的计算机成为其指挥和控制系统的一部分。

尽管Joanap目前被包括Windows Defender在内的许多恶意软件保护系统检测到，但该恶意软件的对等（P2P）通信基础设施仍让大量受感染的计算机连接到互联网。

因此，为了识别受感染的主机并关闭僵尸网络，美国司法部在新闻稿中表示，联邦调查局和空军特别调查办公室（AFOSI）获得了合法的搜查令，允许这些机构通过创建和运行“故意感染”的计算机，模仿同龄人来收集技术和“有限”的识别信息，从而加入僵尸网络。

美国检察官尼古拉·T·汉纳说：“虽然Joanap僵尸网络是多年前发现的，可以用防病毒软件打败它，但我们发现了许多未受保护的计算机，它们承载着僵尸网络背后的恶意软件。”。

“作为我们根除僵尸网络努力的一部分，今天宣布的搜查令和法庭命令只是我们将用来防止网络罪犯利用僵尸网络进行破坏性计算机入侵的众多工具之一。”

收集到的有关感染Joanap恶意软件的计算机的信息包括IP地址、端口号和连接时间戳，这些信息使FBI和AFOSI能够构建当前Joanap僵尸网络的地图。

这些机构现在通过其互联网服务提供商（ISP）通知受害者其受感染计算机上存在Joanap，甚至向没有路由器或防火墙保护其系统的人发送个人通知。

美国司法部和联邦调查局还将通过与其他国家政府共享数据，协调Joanap恶意软件海外受害者的通知。

在美国撤销对一名名名为Jonap的朝鲜计算机程序员的指控后，破坏Jonap僵尸网络的努力开始了朴镇赫去年9月，他策划了索尼影业和WannaCry勒索软件攻击。

Joanap和Brambul也从Hyok在9月的起诉书中列出的竞选活动受害者的电脑中找到，这表明他帮助开发了Joanap僵尸网络。