FireEye：朝鲜在韩国文字处理软件中植入后门程序

IT之家讯美国知名网络安全公司FireEye 研究表明，朝鲜利用已知“零日”漏洞，向韩国知名文字处理软件Hangul Word Processor（HWP）植入后门程序。HWP在韩国政府部门广泛应用。

▲韩国文字处理软件HWP

据悉，该漏洞代号为CVE-2015-6585，已于9月7日修复。该漏洞可被用于发送恶意.hwpx文档（HWP文档），当使用HWP打开时，会在软件中植入后门程序。

根据FireEye 的消息，该后门名为HANGMAN，可用于盗取用户文件，并上传到C&C服务器，也可用于向宿主电脑发送文件。该后门程序制作精良，使用SSL加密其与C&C服务器的会话，可隐藏数据传输过程。

无独有偶，HANGMAN使用的IP地址曾经被另外一个后门程序MACKTRUCK利用，并且HANGMAN的某些功能代码还与之前的PEACHPIT后门十分接近。这家安全公司称，这两个使用过的后门程序都曾被朝鲜政府利用。

FireEye认为，从这些证据来看，HANGMAN后门主要针对韩国政府部门设计，并且所用代码与之前类似，因此本次漏洞植入行为很有可能是朝鲜方面发起的。（Source：FireEye）

FireEye后门检测报告：

新鲜科技，深度好文，微信中搜索IT之家或扫描二维码关注公众号