北朝鮮サイバー攻撃の脅威データを「STIX」で公表 - 「FALLCHILL」「Volgmer」の感染チェックを
一方「FALLCHILL」は、攻撃グループである「HIDDEN COBRA」が利用していた「リモートアクセスツール(RAT)」で、少なくとも2016年より利用していることが明らかとなっている。
攻撃の標的とされたのは、航空宇宙、通信、金融分野など。「HIDDEN COBRA」が利用する別のマルウェアやウェブサイトなどを感染源として利用していた。
二重化されたプロクシを用いており、TLSに見せかけ、RC4により難読化した通信をコマンド&コントロールサーバとの間で行っていた。暗号化キーについても今回のレポートで明らかにしている。
感染端末からはOSやプロセッサ、システム名、IPアドレス、MACアドレスなどの情報を送信。外部からの命令でドライブに関する情報を取得するほか、プロセスやファイルの捜査、タイムスタンプの変更、データの削除といった機能を備えていた。
(Security NEXT - 2017/11/17 )
ツイート
関連リンク
- US-CERT:HIDDEN COBRA – North Korean Trojan: Volgmer
- US-CERT:HIDDEN COBRA – North Korean Remote Administration Tool: FALLCHILL
- US-CERT:Volgmer IOCs(STIX)
- US-CERT:FALLCHILL IOCs(STIX)
- NCCIC:Volgmer Malware Analysis Report (MAR) - 10135536-A(PDF)
- NCCIC:FALLCHILL Malware Analysis Report (MAR) - 10135536-A(PDF)
- US-CERT
PR
関連記事
国内インシデント、前四半期比9.4%増 - サイト改ざんが1.8倍
LinuxカーネルのUSBオーディオドライバ脆弱性 - 攻撃の標的に
IPA、「情報セキュリティ10大脅威 2025 組織編」の解説書を公開
「セキュリティ10大脅威2025」 - 「地政学的リスク」が初選出
2024年4Qのインシデントは約8%増 - 「FortiManager」脆弱性の侵害事例も
北朝鮮による暗号資産窃取に警戒を - 日米韓が共同声明
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
先週注目された記事(2024年11月3日〜2024年11月9日)
3Qのインシデントは2割減 - ただし「サイト改ざん」は倍増
2Qはインシデントが約8.5%増 - フィッシングが増加
