雷锋网创刊词： 年 11 月 14 日，英国电子计算机安全应急处置工作组（US-CERT）公布了“Hidden Cobra”犯罪团伙（即Lazarus）实用工具 FALLCHILL、Volgmer 的分析叙述，强调该犯罪团伙具备朝鲜阅批背靠。微步在线发觉，US-CERT 叙述中外貌的 FALLCHILL 两者之间发觉该犯罪团伙全新的木马程序作用特性高度一致。通篇为微步在线文章投稿，雷锋网(群众号：雷锋网)不在危害本意的基本上略微删剪。

摘要

1.US-CERT 分析的 FALLCHILL 样版为该犯罪团伙年时期应用的初期版本号，公布的 IOC 中总共 个IP地址，在其中英国（44个）、印尼（37个）、沙特（二十六个）和我国（14个）的等我国占较为高。

2.微步在线克日捕获了好几份装扮成金融业有关行业招聘信息内容的故意文本文档，实行后会释放出来新版本的 FALLCHILL 侧门。该编程设计作用相对性巨大，可以凭证网络攻击推送命令完成提交系统信息、创建文档、过程等实际操作，促使系统软件自然环境和作用实际操作彻底在操纵者的把握当中，伤害很大。

3.FALLCHILL 与 Camp;C 网络服务器的通信过程会囊括无效的个人数字证书，涉及到 Google、Apple、Yahoo!、Github及其Baidu、Lenovo等世界各国商业网站，以避开检验。

4.最近对于日本的一系列黑客攻击流动性中，网络攻击应用了类似的技巧和木马工具，分辨同是 Lazarus犯罪团伙所做。

5.微 Lazarus 仍在应用的 IP12 个，在其中个人服务器归属于在我国流行云生产商。

6.Lazarus 犯罪团伙除再次对于日本、英国进行渗入进攻，已最开始将触手tv伸到亚洲地区其他国家的金融业，其关键应用侵入的正当性网络服务器做为Camp;C（远程操作）网络服务器，且基础设施建设和通信过程与我国存有很大联络，对在我国的潜在性伤害杰出。

详细信息

年 11 月 14 日，US-CERT 公布 Lazarus 犯罪团伙 FALLCHILL、Volgmer 2款木马病毒的分析叙述，强调FALLCHILL（当众的样版编译程序時间为年三月）会应用仿冒的 TLS 协议书与 Camp;C 通信，并互联网受害人服务器的电脑操作系统版本号、CPU、IP 和 MAC 等基础信息，另外依据 Camp;C 命令实行创建文档、删除文件夹、创建过程、关掉过程等实际操作，与大家最近捕获该机构故意样版的作用和特性基本一致。

微步在线全新捕获该机构应用的故意文本文档名叫JD.doc，語言编号为韩文，最终的修改时间为年10月26日。

开启后会提示“该文本文档由最新版本创建，需点一下容许编写，并点一下开启內容”，诱发客户开启故意宏台本。

该台本会开启一份Juno企业（海外阅批公司）招骋CFO的岗位外貌文本文档，用以疑虑受害人，另外释放出来名叫“smss.exe”的FALLCHILL专用工具（编译程序時间为年十月）。如下图所显示：

除此之外，大家还捕获了好几份相近的招骋文本文档，主题风格囊括朝向东亚地区招骋财政局员工的任职要求（8月13日）和IBM企业在菲律宾招聘规定（8月5日）等，释放出来的故意样版归属于较最新版本的FALLCHILL。