2017.11.17 라자루스 해킹그룹 RAT툴

1. 개요

• US-CERT에서 라자루스 해킹그룹관련 IOC정보 오픈

 

2. 내용

• 기사내용

• 미국 국토안보부와 FBI 분석에 의해 라자루스 해킹그룹이 사용하는 RAT 툴인 'FALLCHILL' 관련된 정보 확인
• FALLCHILL 요약
  - 2016년 이후 항공 우주, 통신 및 금융 산업을 대상으로 FALLCHILL 멀웨어를 사용하고 있을 가능성이 큼
  - 멀웨어는 공격자가 듀얼 프록시를 통해 명령 및 제어(C2) 서버에서 피해자의 시스템으로 실행할 수 있는 여러 명령이 포함 된 완전한 기능의 RAT
• FALLCHILL 정보수집 리스트
  - 운영체제(OS) 버전 정보
  - 프로세스 정보
  - 시스템 이름
  - 로컬 IP 주소 정보
  - 고유 생성 ID 및 미디어 액세스 제어(MAC) 주소
• 미국 국토 안보부와 FBI 분석에 의해 라자루스 해킹그룹이 사용하는 RAT툴인 'VOLGMER'관련 정보 확인
• VOLGMER 요약
  - 2013년 이후로 HIDDEN COBRA 그룹은 Volgmer 멀웨어를 사용하여 정부, 금융, 자동차 및 미디어 산업을 대상으로 악성행위 수행
  - TCP 포트 8080 또는 8088 을 통해 명령 및 제어(C2) 서버로 다시 연결하고 일부 페이로드는 통신을 난독화하기 위해 SSL(Secure Socker Layer) 암호화를 구현