US-CERT ร่วมกับ Department of Homeland Security (DHS) และ FBI ออกประกาศแจ้งเตือนถึงมัลแวร์ Volgmer และ FALLCHILL ที่มีความเกี่ยวข้องกับเกาหลีเหนือ

FALLCHILL เป็นมัลแวร์แบบ RAT (Remote Access Trojan) ที่เปิดทางให้แฮกเกอร์เข้าควบคุมเครื่องได้เต็มรูปแบบ เมื่อเครื่องของเหยื่อถูกติดตั้ง FALLCHILL แล้วจะเก็บข้อมูลทั่วไปของเครื่องกลับไปยังเซิร์ฟเวอร์ควบคุม และรอรับคำสั่งรันโปรแกรมใดๆ บนเครื่อง พร้อมกับความสามารถถอนตัวเองออกจากเครื่องของเหยื่อพร้อมลบร่องลอยออกไปได้

ทาง US-CERT เปิดเผยรายชื่อไอพีที่ใช้ควบคุม FALLCHILL พร้อมกับเผยแพร่ค่า MD5 ของไฟล์ในมัลแวร์สองไฟล์คือ 1216da2b3d6e64075e8434be1058de06
และ e48fe20eb1f5a5887f2ac631fed9ed63 ที่เป็นส่วนหนึ่งของมัลแวร์

Volgmer เป็นมัลแวร์เปิดช่องทางลับให้กับแฮกเกอร์ที่มีการใช้งานมาตั้งแต่ปี 2013 สามารถอัพโหลดดาวน์โหลดไฟล์, รันโปรแกรมตามสั่ง, บางเวอร์ชั่นทำงานเป็น botnet ได้ด้วย รัฐบาลสหรัฐฯ เปิดเผยรายการไอพีของเครื่องที่ติด Volgmer พบทั้งหมด 140 ไอพี คิดเป็น 4.6% ของทั้งหมด ในจำนวนนี้มี 6 ไอพีเป็นเซิร์ฟเวอร์ควบคุม C2 ได้แก่ 110.77.137.38, 118.175.22.10, 125.25.206.15, 203.147.10.65, 58.82.155.98, และ 61.91.47.142

ค่า MD5 ของไฟล์ที่เกี่ยวข้องกับ Volgmer ที่เปิดเผยมาได้แก่ 2D2B88AE9F7E5B49B728AD7A1D220E84, 9A5FA5C5F3915B2297A1C379BE9979F0, BA8C717088A00999F08984408D0C5288, 1B8AD5872662A03F4EC08F6750C89ABC, E034BA76BEB43B04D2CA6785AA76F007, EB9DB98914207815D763E2E5CFBE96B9, 143cb4f16dcfc16a02812718acd32c8f, 1ecd83ee7e4cfc8fed7ceb998e75b996, 35f9cfe5110471a82e330d904c97466a, 5dd1ccc8fb2a5615bf5656721339efed, 81180bf9c7b282c6b8411f8f315bc422, e3d03829cbec1a8cca56c6ae730ba9a8

ในประกาศฉบับเต็มยังมีตัวอย่างกฎสำหรับไฟร์วอล์เพื่อตรวจจับข้อมูลที่มัลแวร์พยายามเชื่อมต่อกลับเซิร์ฟเวอร์ควบคุมอีกด้วย

ที่มา - DHS