先办事黑客在线接单(黑客盗QQ号的教程
雷锋网编者按:2017 年 11 月 14 日,美国计算机安全应急响应小组(US-CERT)发布了“Hidden Cobra”团伙(即Lazarus)常用工具 FALLCHILL、Volgmer 的分析报告,指出该团伙具有朝鲜政府背景。微步在线发现,US-CERT 报告中描述的 FALLCHILL 与其发现该团伙最新的后门程序功能特点高度一致。该文为微步在线投稿,雷锋网(公众号:雷锋网)在不影响原意的基础上略有删减。
概要
1.US-CERT 分析的 FALLCHILL 样本为该团伙2016年期间使用的早期版本,公布的 IOC 中共计 196 个IP地址,其中美国(44个)、印度(37个)、伊朗(26个)和中国(14个)的等国家占比较高。
2.微步在线近日捕获了多份伪装成金融相关行业招聘信息的恶意文档,执行后会释放新版的 FALLCHILL 后门。该程序设计功能相对复杂,能够根据攻击者发送指令实现上传系统信息、创建文件、进程等操作,使得系统环境和功能操作完全在控制者的掌握之中,危害较大。
3.FALLCHILL 与 C&C 服务器的通信过程会包含失效的数字证书,涉及 Google、Apple、Yahoo!、Github以及Baidu、Lenovo等国内外大型网站,以规避检测。
4.近期针对韩国的一系列网络攻击活动中,攻击者使用了相似的手法和木马工具,判断同为 Lazarus团伙所为。
5.微 Lazarus 仍在使用的 IP12 个,其中个别主机属于我国主流云厂商。
6.Lazarus 团伙除继续针对韩国、美国开展渗透攻击,已开始将触手伸向亚洲其他国家的金融行业,其主要使用入侵的合法网站服务器作为C&C(远程控制)服务器,且基础设施和通信过程与中国存在较大联系,对我国的潜在危害巨大。
详情
2017 年 11 月 14 日,US-CERT 发布 Lazarus 团伙 FALLCHILL、Volgmer 两款木马的分析报告,指出FALLCHILL(公开的样本编译时间为2016年3月)会使用伪造的 TLS 协议与 C&C 通信,并收集受害者主机的操作系统版本、处理器、IP 和 MAC 等基础信息,同时按照 C&C 指令执行创建文件、删除文件、创建进程、关闭进程等操作,与我们近期捕获该组织恶意样本的功能和特点基本一致。
微步在线最新捕获该组织使用的恶意文档名为JD.doc,语言编码为韩语,最后的修改时间为2017年10月26日。
打开后会提示“该文档由新版本创建,需点击允许编辑,并点击启用内容”,诱导用户启用恶意宏脚本。
该脚本会打开一份Juno公司(境外比特币公司)招聘CFO的职位描述文档,用于迷惑受害者,同时释放名为“smss.exe”的FALLCHILL工具(编译时间为2017年10月)。如下图所示:
此外,我们还捕获了多份类似的招聘文档,主题包括面向亚洲地区招聘财务人员的职位要求(8月21日)和IBM公司在菲律宾招聘要求(8月6日)等,释放的恶意样本属于较新版本的FALLCHILL。
(责任编辑:网络)