美国US-CERT发布朝鲜黑客组织HIDDEN COBRA网络攻击架构中涉及中国IP地址

正文

请到「今天看啥」查看全文

入侵指标文件

HIDDEN COBRA利用的网络攻击架构— IOC.csv

HIDDEN COBRA利用的恶意软件分析报告—-MAR .pdf

FALLCHILL的攻击影响

根据第三方公司情报，HIDDEN COBRA自2016年起利用FALLCHILL开展了针对全球特定航空航天、通信、金融行业数家机构的网络入侵，FALLCHILL是一个全功能远程控制管理软件（RAT），攻击者能以多种代理方式从C2端向受害者系统发起多种形式的控制命令。攻击者利用“水坑攻击”或钓鱼邮件方式入侵受害者系统，然后通过外部工具或释放的恶意Dropper进行FALLCHILL植入，并利用其恶意软件即服务（malware-as-a-service）一体化平台实现持久驻留和其它恶意软件继续植入部署。

在对FALLCHILL的分析研判期间，美方政府机构根据公开注册信息，识别出了一些感染主机和中转主机地址的IP注册国。

技术分析

FALLCHILL是HIDDEN COBRA使用多种代理对受害者系统进行远控管理的主要C2部件，据可信的第三方报告，受害者系统和HIDDEN COBRA攻击者之间存在多种代理通信流量，如下：

FALLCHILL使用伪造的TLS通信，对通信数据以密钥序列 [0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82]进行RC4加密，FALLCHILL收集受害者系统中信息包括：

操作系统版本信息

请到「今天看啥」查看全文