E安全11月16日讯 美国国土安全部（DHS）和联邦调查局（FBI）当地时间11月14日发布联合警告，称朝鲜黑客组织Lazarus Group使用名为“FALLCHILL”的远程管理工具（RAT）入侵航空、电信和金融行业的公司。

FALLCHILL远程管理工具

DHS和FBI在警告中将FALLCHILL描述为“一款功能齐全的RAT，攻击者可通过双重代理从命令与控制服务器（C&C Server）向受害者系统发出多项命令”。

美国称该朝鲜黑客组织为“Hidden Cobra”（Lazarus Group）。Lazarus Group曾发动过几起臭名昭著的攻击，包括攻击索尼影业、孟加拉国中央银行和波兰金融机构。也有专家推断，今年5月肆虐全球的WannaCry勒索软件攻击也与该黑客组织有关联。美国政府称能够确定FALLCHILL的基础设施使用的83个网络节点。

在另一份独立的警告中，DHS和FBI公开了与“Volgmer ”后门木马有关的IP地址列表和其它攻击指示器（IOC），该后门木马旨在秘密访问被感染系统。DHS表示，至少有94个静态IP地址与Volgmer的基础设施有关，而动态IP地址在多国注册。

动态IP地址注册地址分布如下：

• 印度 (772 个IP地址) 25.4%；

• 伊朗 (373个IP地址) 12.3%；

• 巴基斯坦 (343个IP地址) 11.3 %；

• 中国 (251个IP地址，其中台湾地区169个IP地址)8.3 %；
  

• 沙特阿拉伯 (182个IP地址) 6 %；

• 泰国(140个IP地址) 4.6 %；

• 斯里兰卡 (121个IP地址) 4 %；

• 越南 (80个IP地址) 2.6 %；

• 印度尼西亚 (68个IP地址) 2.2 %；

• 俄罗斯 (68个IP地址) 2.2 %。

DHS表示，Lazarus Group自2013年以来（甚至更早）一直使用Volgmer恶意软件攻击政府、金融、汽车和媒体行业。鱼叉式网络钓鱼似乎是Volgmer后门木马的主要传送机制，但Lazarus Group可能还使用一套自定义工具入侵系统。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/596039877.shtml

▼点击“阅读原文” 查看更多精彩内容