
La première alerte est identifiée comme « ;Alert (TA17-318A) ;». Le DHS et le FBI ont affirmé avoir identifié des adresses IP et d’autres indicateurs de risques (IOC) associés à un outil d’administration à distance (RAT) communément appelé FALLCHILL qui serait utilisé par le gouvernement nord-coréen pour mener ses cyberactivités malveillantes. FALLCHILL a été déployé par Hidden Cobra depuis 2016 et ciblerait essentiellement les secteurs de l’aérospatiale, des télécommunications et de la finance.
La seconde alerte est identifiée comme « ;Alert (TA17-318B) ;». Le DHS et le FBI ont affirmé avoir identifié des adresses IP et d’autres indicateurs de risques (IOC) associés à une variante de Trojan communément appelée Volgmer qui serait utilisée par le gouvernement nord-coréen pour mener ses cyberactivités malveillantes. Volgmer est utilisée par Hidden Cobra pour cibler les médias, l’industrie automobile et les institutions gouvernementales ou financières.
D’après les experts américains, Volgmer serait en mesure de rassembler des informations sur le système, mettre à jour les clés du registre de service, télécharger des fichiers, exécuter des commandes et mettre fin à des processus. FALLCHILL, pour sa part, serait capable de récupérer des informations sur tous les disques installés, accéder aux fichiers, modifier les horodatages des fichiers ou des répertoires et supprimer les preuves sur le serveur infecté.
Sont précisés dans ces alertes : les adresses IP liées aux systèmes infectés par des logiciels malveillants FALLCHILL et Volgmer, les COI liés à HIDDEN COBRA, les descriptions des programmes malveillants ainsi que les signatures associées. Ces alertes listent également les conduites à tenir en fonction du COI considéré et les techniques d’atténuation recommandées ainsi que les informations sur les incidents signalés.
Source : US-CERT Alert (TA17-318A), US-CERT Alert (TA17-318B)
Et vous ?

Voir aussi

