به گزارش گرداب از سایبربان، کره شمالی از آسیبپذیری zero day با شماره CVE-2015-6585 در پردازش گر متن هانگول (Hangul Word Processor) علیه کره جنوبی استفاده کرده است.
پردازش گر متن هانگول محبوبترین نرمافزار پردازش گر متن مورداستفاده کاربران کره جنوبی است که توسط کارمندان دولت و شهروندان این کشور استفاده میشود. همین عامل باعث شده است تا کره شمالی به دنبال استفاده از آسیبپذیری این پردازش گر علیه کشور کره جنوبی باشد. البته مطابق بسیاری از حملههای سایبری، دلیل قطعی برای اثبات اجرای این حمله توسط کره شمالی وجود ندارد.
آسیبپذیری CVE-2015-6585 چند روز قبل توسط توسعهدهندگان نرمافزار پردازش گر متن، وصله شد.
هنگامیکه نمونه مخرب پردازش گر متن هانگول، توسط قربانی اجرا میشود، یک بک دور بر روی سامانه قربانی نصب میشود. این بدافزار توسط محققان امنیتی فایرآی، HANGMAN نامگرفته است. این بک دور داری قابلیتهای معمول مانند دانلود و آپلود فایل و جمعآوری اطلاعات است.
همچنین این بک دور با سرور C&C خود از طریق پروتکل SSL ارتباط برقرار میکند. آیپی سرور C&C بهصورت ثبتشده در کدهای این بدافزار حضور دارد که مربوط به بلوک آیپی کره شمالی میشود.