FALLCHILL
Techniques Used |
||||
Domain | ID | Name | Use | |
---|---|---|---|---|
Enterprise | T1543 | .003 | Create or Modify System Process: Windows Service |
FALLCHILL has been installed as a Windows service.(Citation: CISA AppleJeus Feb 2021) |
Enterprise | T1001 | .003 | Data Obfuscation: Protocol or Service Impersonation |
FALLCHILL uses fake Transport Layer Security (TLS) to communicate with its C2 server.(Citation: US-CERT FALLCHILL Nov 2017) |
Enterprise | T1573 | .001 | Encrypted Channel: Symmetric Cryptography |
FALLCHILL encrypts C2 data with RC4 encryption.(Citation: US-CERT FALLCHILL Nov 2017)(Citation: CISA AppleJeus Feb 2021) |
Enterprise | T1070 | .004 | Indicator Removal: File Deletion |
FALLCHILL can delete malware and associated artifacts from the victim.(Citation: US-CERT FALLCHILL Nov 2017) |
.006 | Indicator Removal: Timestomp |
FALLCHILL can modify file or directory timestamps.(Citation: US-CERT FALLCHILL Nov 2017) |
Groups That Use This Software |
||
ID | Name | References |
---|---|---|
G0032 | Lazarus Group |
(Citation: US-CERT FALLCHILL Nov 2017) |
References
- US-CERT. (2017, November 22). Alert (TA17-318A): HIDDEN COBRA – North Korean Remote Administration Tool: FALLCHILL. Retrieved December 7, 2017.
- Cybersecurity and Infrastructure Security Agency. (2021, February 21). AppleJeus: Analysis of North Korea’s Cryptocurrency Malware. Retrieved March 1, 2021.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.