FBI và Bộ An Ninh Nội Địa của Mỹ đã phát hiện một nhóm IP có liên kết với Công cụ quản trị từ xa (RAT) được sử dụng bởi Triều Tiên được biết đến với tên gọi là FALLCHILL. Chính phủ Mỹ nhận định hoạt động mạng nguy hiểm này bởi chính phủ Triều Tiên trông giống như tổ chức khủng bố mạng HIDDEN COBRA đã được cảnh báo bởi Tổ chức CERT của Mỹ vào ngày 14 tháng 11. Một số lượng lớn hệ thống và đường mạng được phân tích riêng bởi FortiGuard Labs.
Dựa vào báo cáo của bên thứ ba, thành viên HIDDEN COBRA dường như đã sử dụng mã độc FALLCHILL từ năm 2016 để nhắm đến ngành hàng không,viễn thông và tài chính. Mã độc này được tích hợp hoàn toàn với RAT cùng nhiều câu lệnh hỗn hợp mà người dùng có thể ra lệnh và kiểm soát hệ thống của nạn nhân thông qua proxy kép.
Dựa vào báo cáo của bên thứ ba, thành viên HIDDEN COBRA dường như đã sử dụng mã độc FALLCHILL từ năm 2016 để nhắm đến ngành hàng không,viễn thông và tài chính. Mã độc này được tích hợp hoàn toàn với RAT cùng nhiều câu lệnh hỗn hợp mà người dùng có thể ra lệnh và kiểm soát hệ thống của nạn nhân thông qua proxy kép.
Một tổ chức an ninh nội địa khác cũng đã báo cáo, “FALLCHILL trực tiếp ảnh hưởng vào hệ thống như một dự liệu được đính kèm bởi mã độc HIDDEN COBRA hay như một dữ liệu được tải xuống nặc danh bởi người dùng khi truy cập vào mội website được kết nối với thành viên của HIDDEN COBRA. Những kẻ xấu này sử dụng công cụ bên ngoài hay trình duyệt tải để cài đặt mã độc FALLCHILL như một dịch vụ. Bởi vì yếu tố này, mã độc FALLCHILL được thêm vào có thể hiện diện trên hệ thống được kết nối với FALLCHILL.
FortiGuard Labs đã tích cực theo dõi FALLCHILL và xác nhận tất cả các IOCs, cho dù chúng ta đã khám phá chúng bằng một trong hàng triệu bộ cảm biến được triển khai trên khắp thế giới hoặc được thu thập từ hàng trăm nguồn cấp dữ liệu chia sẻ mối đe dọa. Chương trình chia sẻ thông tin đe dọa toàn diện bao gồm Chính phủ, Chứng chỉ và Các Đối tác Chiến lược trên toàn thế giới.
Để tránh tạo ra bất kỳ sai tích cực cho khách hàng của chúng tôi, chúng tôi cũng thực hiện xác nhận bổ sung trên tất cả IOC báo cáo để đảm bảo chúng là chính xác. Tất cả IOCs đã được xác nhận là một phần của FALLCHILL hiện đang là một phần tích cực trong hệ thống Threat Intelligence của chúng tôi.
Kiểm tra nội bộ bởi FortiGuard Labs cho thấy rằng tất cả các mạng và thiết bị được bảo vệ bởi các giải pháp FortiGate chạy các bản cập nhật mới nhất đều được tự động bảo vệ khỏi phần mềm độc hại này. Ngoài ra, một chữ ký IPS tinh vi đang được tạo ra, và ngăn chặn không có vấn đề bất ngờ sẽ được phát hành vào ngày Thứ sáu, Tháng Mười Một. Nó sẽ được xác định là FALLCHILL.Botnet .
Các tổ chức xác định bất kỳ IOC nào được xác định là một phần của phần mềm độc hại FALLCHILL nên tham khảo phần ‘Phát hiện và Phản hồi’ và ‘Các chiến lược Giảm nhẹ’ được tìm thấy trong Cảnh báo US-CERT (TA17-318A) .
Các bài viết khác:
FortiGuard Labs đã tích cực theo dõi FALLCHILL và xác nhận tất cả các IOCs, cho dù chúng ta đã khám phá chúng bằng một trong hàng triệu bộ cảm biến được triển khai trên khắp thế giới hoặc được thu thập từ hàng trăm nguồn cấp dữ liệu chia sẻ mối đe dọa. Chương trình chia sẻ thông tin đe dọa toàn diện bao gồm Chính phủ, Chứng chỉ và Các Đối tác Chiến lược trên toàn thế giới.
Để tránh tạo ra bất kỳ sai tích cực cho khách hàng của chúng tôi, chúng tôi cũng thực hiện xác nhận bổ sung trên tất cả IOC báo cáo để đảm bảo chúng là chính xác. Tất cả IOCs đã được xác nhận là một phần của FALLCHILL hiện đang là một phần tích cực trong hệ thống Threat Intelligence của chúng tôi.
Kiểm tra nội bộ bởi FortiGuard Labs cho thấy rằng tất cả các mạng và thiết bị được bảo vệ bởi các giải pháp FortiGate chạy các bản cập nhật mới nhất đều được tự động bảo vệ khỏi phần mềm độc hại này. Ngoài ra, một chữ ký IPS tinh vi đang được tạo ra, và ngăn chặn không có vấn đề bất ngờ sẽ được phát hành vào ngày Thứ sáu, Tháng Mười Một. Nó sẽ được xác định là FALLCHILL.Botnet .
Các tổ chức xác định bất kỳ IOC nào được xác định là một phần của phần mềm độc hại FALLCHILL nên tham khảo phần ‘Phát hiện và Phản hồi’ và ‘Các chiến lược Giảm nhẹ’ được tìm thấy trong Cảnh báo US-CERT (TA17-318A) .
Các bài viết khác:
- Cập nhật lần 3 cho Autodesk Flame 2018 Family
- FortiSandbox 2000E đạt đề cử cao nhất của NSS trong cuộc thi Hệ thống Phát hiện Nguy hiểm gần đây
- LogRhythm đầu tư cho các cựu chiến binh
- Autodesk công bố nền tảng BIM 360 mới
- Giải pháp của Fortinet bảo vệ khách hàng từ mã độc FALLCHILL
Hãy liên hệ với Việt Nét để nhận những thông tin cập nhật mới nhất:
Email: sales@vietnetco.vn
Hotline: 1900 6736
Website: Viet Net Homepage
Fanpage: Viet Net Fanpage
Youtube: Viet Net Youtube Channel
