• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:642

1.US-CERT與FBI指出北韓政府支持的Hidden Cobra駭客行動自2009年起進行攻擊，其中包括散布RAT遠端控制工具Fallchill，該惡意程式鎖定航太、電信、金融產業攻擊，蒐集被害系統相關資訊，或執行檔案、變更檔案目錄等惡意行為。

美國國土安全部旗下的電腦緊急應變小組（US-CERT）與FBI於11月14日聯手提出警告，揭露了北韓政府所使用的遠端控制工具（Remote administration tool，RAT）—Fallchill，並公布90個涉及散布Fallchill的網址。
根據US-CERT與FBI的調查，由北韓政府所支持的Hidden Cobra駭客行動自2009年起曾陸續發動分散式阻斷服務（DDoS）攻擊、植入Volgmer木馬，以及散布Fallchill惡意程式。
Fallchill自2016年起便鎖定航太、電信與金融產業展開攻擊，它是個具備完整功能的RAT，通常是藉由偷渡式下載植入受害者電腦，駭客再藉由層層的代理伺服器發送各種指令到被感染的系統上。
Fallchill會蒐集被駭系統上的作業系統、處理器、IP位址及MAC等資訊，而且內建眾多惡意功能，包括可取得硬碟資訊、建立或終止程序、搜尋/讀取/執行檔案、變更檔案或目錄時間戳、變更檔案目錄，或是刪除惡意程式及相關檔案等。
US-CERT表示，Hidden Cobra行動還利用其他工具以建立基於Fallchill的惡意程式即服務（Malware-as-a-service），還能遞送其他的惡意程式到受害電腦上。

參考連結：

https://www.ithome.com.tw/news/118271
http://www.cna.com.tw/news/ait/201711150102-1.aspx