韓国のワードファイルを狙ったサイバー攻撃、北朝鮮が関与か? - FireEye

このバックドアは、通信プロトコルとしてSSLを採用しており、通信を開始する際に、コマンド&コントロール(C2)サーバに正規のSSLハンドシェイクを送信する。次に、SSLヘッダ・メッセージを使用して通信を継続するが、メッセージのペイロードはカスタム・バイナリ・プロトコルとなる。

HANGMANのサンプルはいずれも、PEインポート・ハッシュ、コンパイル日時(2015年8月18日15:08:28)、C2に使用されるハードコードIPアドレスが同一のものであった。C2用IPアドレスの1つは、コンパイル日時が4カ月早い(2015年4月8日00:53:29)MACKTRUCKバックドアの亜種でも使用されたもの。MACKTRUCKはこれまで、北朝鮮の関与が疑われる脅威アクターの標的型攻撃で使用されていた。HWPX文書がドロップするHANGMANの亜種で使用される関数は、私たちがPEACHPITと呼ぶバックドアなど、北朝鮮の関与が疑われるアクターで使用された他のマルウェア・ファミリーに見られるものと非常によく似ている。

PEACHPITとHANGMANのいずれも、WindowsコマンドがリモートC2サーバからバックドアに渡される関数を採用している。