14 listopada 2017 US-CERT opublikował informację amerykańskiego DHS i FBI o wykryciu nowych narzędzi używanych przez północnokoreańską grupę HiddenCobra (znaną też pod nazwą Lazarus).
Pierwsze z narzędzi, nazwane FALLCHILL, jest oprogramowaniem typu RAT (ang. Remote Administration Tool). Służy napastnikom do uzyskania pełnej kontroli nad zainfekowanym systemem. FALLCHILL komunikuje się z serwerami C2 przez szyfrowane połączenia (TLS). Może być wykorzystany m. in. do: pozyskania informacji o systemie (nazwa, wersja, procesor, UID, IP, MAC, partycje), zmiany plików i katalogów, uruchamiania i zamykania procesów. Malware infekuje komputery albo za pośrednictwem innego oprogramowania wgranego przez HiddenCobra, albo bezpośrednio przez skompromitowane strony. FALLCHILL było wykorzystywane przez grupę głównie do ataku na cele w przemyśle lotniczym, telekomunikacyjnym i w sektorze finansowym.
Pełna informacja, w tym IoC, znajduje się na stronie:
Alert (TA17-318A) HIDDEN COBRA – North Korean Remote Administration Tool: FALLCHILL
Drugim z odkrytych narzędzi jest backdoor Volgmer. Ten trojan ma możliwość zbierania informacji o systemie, aktualizacji kluczy rejestru, wgrywania i pobierania plików, wywoływania komend, przeglądania plików oraz zamykania procesów. Może być wykorzystany do wgrania kolejnego malware’u. Głównym źródłem dystrybucji są maile phishingowe. Komunikacja z serwerami C2 odbywa się głównie za pośrednictwem portów TCP 8080 i 8088, w niektórych implementacjach wykorzystywane są też połączenia SSL.
Pełna informacja, w tym IoC, znajduje się na stronie:
Alert (TA17-318B) HIDDEN COBRA – North Korean Trojan: Volgmer