雷锋网创刊词： 年 11 月 14 日，英国电子计算机安全应急处置工作组（US-CERT）公布了“Hidden Cobra”犯罪团伙（即Lazarus）实用工具 FALLCHILL、Volgmer 的分析叙述，强调该犯罪团伙具备朝鲜 *** 背靠。微步在线发觉，US-CERT 叙述中外貌的 FALLCHILL 两者之间发觉该犯罪团伙全新的木马程序作用特性高度一致。通篇为微步在线文章投稿，雷锋网(群众号：雷锋网)不在危害本意的基本上略微删剪。

摘要

1.US-CERT 分析的 FALLCHILL 样版为该犯罪团伙年时期应用的初期版本号，公布的 IOC 中总共 个IP地址，在其中英国（44个）、印尼（37个）、沙特（二十六个）和我国（14个）的等我国占较为高。

2.微步在线克日捕获了好几份装扮成金融业有关行业 *** 信息内容的故意文本文档，实行后会释放出来新版本的 FALLCHILL 侧门。该编程设计作用相对性巨大，可以凭证 *** 攻击推送命令完成提交系统信息、创建文档、过程等实际操作，促使系统软件自然环境和作用实际操作彻底在操纵者的把握当中，伤害很大。

3.FALLCHILL 与 Camp;C *** 服务器的通信过程会囊括无效的个人数字证书，涉及到 Google、Apple、Yahoo!、Github及其Baidu、Lenovo等世界各国商业网站，以避开检验。

4.最近对于日本的一系列黑客攻击流动性中， *** 攻击应用了类似的技巧和木马工具，分辨同是 Lazarus犯罪团伙所做。

5.微 Lazarus 仍在应用的 IP12 个，在其中个人服务器归属于在我国流行云生产商。

6.Lazarus 犯罪团伙除再次对于日本、英国进行渗入进攻，已最开始将触手tv伸到亚洲地区其他国家的金融业，其关键应用侵入的正当性 *** 服务器做为Camp;C（远程操作） *** 服务器，且基础设施建设和通信过程与我国存有很大联络，对在我国的潜在性伤害杰出。

详细信息

年 11 月 14 日，US-CERT 公布 Lazarus 犯罪团伙 FALLCHILL、Volgmer 2款木马病毒的分析叙述，强调FALLCHILL（当众的样版编译程序時间为年三月）会应用仿冒的 TLS 协议书与 Camp;C 通信，并互联网受害人服务器的电脑操作系统版本号、CPU、IP 和 MAC 等基础信息，另外依据 Camp;C 命令实行创建文档、删除文件夹、创建过程、关掉过程等实际操作，与大家最近捕获该机构故意样版的作用和特性基本一致。

微步在线全新捕获该机构应用的故意文本文档名叫JD.doc，語言编号为韩文，最终的修改时间为年10月26日。

开启后会提示“该文本文档由最新版本创建，需点一下容许编写，并点一下开启內容”，诱发客户开启故意宏台本。

该台本会开启一份Juno企业（海外比特币公司）招骋CFO的岗位外貌文本文档，用以疑虑受害人，另外释放出来名叫“ *** ss.exe”的FALLCHILL专用工具（编译程序時间为年十月）。如下图所显示：

除此之外，大家还捕获了好几份相近的招骋文本文档，主题风格囊括朝向东亚地区招骋财政局员工的任职要求（8月13日）和IBM企业在菲律宾 *** 规定（8月5日）等，释放出来的故意样版归属于较最新版本的FALLCHILL。