De Amerikaanse FBI en het ministerie van Nationale Veiligheid hebben waarschuwingen gepubliceerd over malware die ze toeschrijven aan Noord-Korea. Met de tools zou het land zich bijvoorbeeld richten op de luchtvaart, de telecomsector en financiële instellingen.

In de eerste waarschuwing, waarin de zogenaamde Falchill-rat wordt behandeld, schrijven de organisaties dat ze bepaalde ip-adressen hebben geïdentificeerd die door Noord-Korea worden gebruikt om aanvallen uit te voeren, naast 83 network nodes. Het land, dat in de waarschuwing als 'hidden cobra' wordt aangeduid, zou de Fallchill-malware sinds 2016 gebruiken om de eerdergenoemde sectoren aan te vallen. De malware wordt door een zogenaamde dropper op een systeem achtergelaten en gebruikt verschillende proxies om verkeer tussen geïnfecteerde systemen en c2-servers te verhullen.

De tool gebruikt vervalst tls-verkeer dat is versleuteld met rc4 om informatie over een geïnfecteerd systeem naar buiten te brengen. Daaronder valt bijvoorbeeld informatie over het besturingssysteem, de processor, de systeemnaam en ip- en mac-adressen. Daarnaast kan Fallchill onder meer processen aanmaken en bestanden uitvoeren. Door de informatie over de tools vrij te geven, willen de organisaties bereiken dat anderen zich tegen de malware kunnen wapenen.

Een tweede tool draagt de naam Volgmer en dient als een backdoor, aldus een aanvullende waarschuwing. Deze zou sinds 2013 in gebruik zijn en zich richten op overheden, mediabedrijven, financiële instellingen en de auto-industrie. De verspreiding ervan gebeurt aan de hand van gerichte phishingaanvallen, oftewel spear phishing. De malware komt het meest voor achter ip-adressen in India, Iran en Pakistan.

Deze tool kan onder meer bestanden up- en downloaden, registersleutels aanpassen en commando's uitvoeren. Volgmer maakt gebruik van een custom binair protocol voor communicatie met de c2-server en komt voor in de vorm van een uitvoerbaar bestand of een dll. Ook hiervoor delen de FBI en Homeland Security zogenaamde ioc's, oftewel indicators of compromise.

Reacties mogelijk gemaakt door CComment