雷锋网编者按：2017 年 11 月 14 日，美国计算机安全应急响应小组（US-CERT）发布了“Hidden Cobra”团伙（即Lazarus）常用工具 FALLCHILL、Volgmer 的分析报告，指出该团伙具有朝鲜 *** 背景。微步在线发现，US-CERT 报告中描述的 FALLCHILL 与其发现该团伙最新的后门程序功能特点高度一致。该文为微步在线投稿，雷锋网(公众号：雷锋网)在不影响原意的基础上略有删减。

概要

1.US-CERT 分析的 FALLCHILL 样本为该团伙2016年期间使用的早期版本，公布的 IOC *** 计 196 个IP地址，其中美国（44个）、印度（37个）、伊朗（26个）和中国（14个）的等国家占比较高。

2.微步在线近日捕获了多份伪装成金融相关行业 *** 信息的恶意文档，执行后会释放新版的 FALLCHILL 后门。该程序设计功能相对复杂，能够根据攻击者发送指令实现上传系统信息、创建文件、进程等操作，使得系统环境和功能操作完全在控制者的掌握之中，危害较大。

3.FALLCHILL 与 C&C 服务器的通信过程会包含失效的数字证书，涉及 Google、Apple、Yahoo!、Github以及Baidu、Lenovo等国内外大型网站，以规避检测。

4.近期针对韩国的一系列 *** 攻击活动中，攻击者使用了相似的手法和木马工具，判断同为 Lazarus团伙所为。

5.微 Lazarus 仍在使用的 IP12 个，其中个别主机属于我国主流云厂商。

6.Lazarus 团伙除继续针对韩国、美国开展渗透攻击，已开始将触手伸向亚洲其他国家的金融行业，其主要使用入侵的合法网站服务器作为C&C（远程控制）服务器，且基础设施和通信过程与中国存在较大联系，对我国的潜在危害巨大。

详情

2017 年 11 月 14 日，US-CERT 发布 Lazarus 团伙 FALLCHILL、Volgmer 两款木马的分析报告，指出FALLCHILL（公开的样本编译时间为2016年3月）会使用伪造的 TLS 协议与 C&C 通信，并收集受害者主机的操作系统版本、处理器、IP 和 MAC 等基础信息，同时按照 C&C 指令执行创建文件、删除文件、创建进程、关闭进程等操作，与我们近期捕获该组织恶意样本的功能和特点基本一致。

微步在线最新捕获该组织使用的恶意文档名为JD.doc，语言编码为韩语，最后的修改时间为2017年10月26日。 

打开后会提示“该文档由新版本创建，需点击允许编辑，并点击启用内容”，诱导用户启用恶意宏脚本。 

该脚本会打开一份Juno公司（境外比特币公司） *** CFO的职位描述文档，用于迷惑受害者，同时释放名为“ *** ss.exe”的FALLCHILL工具（编译时间为2017年10月）。如下图所示： 

此外，我们还捕获了多份类似的 *** 文档，主题包括面向亚洲地区 *** 财务人员的职位要求（8月21日）和IBM公司在菲律宾 *** 要求（8月6日）等，释放的恶意样本属于较新版本的FALLCHILL。