Южнокорейское агентство занимается вопросами национальной безопасности и, как полагают, подверглось атаке северокорейских хакеров.
Уязвимость ActiveX нулевого дня, использованная в атаках на южнокорейский аналитический центр, была связана с Lazarus Group.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Целью этих атак стал Институт Седжона, некоммерческий южнокорейский аналитический центр, который проводит исследования в области национальной безопасности. Частная организация работает с академическими учреждениями по всему миру.
- Саммит Трампа и Кима: что бы ни случилось, кибервойна между Северной Кореей и США будет бушевать
Уязвимость ActiveX нулевого дня была обнаружена на веб-сайте аналитического центра в мае южнокорейской фирмой по кибербезопасности AhnLab. Атака была одной из многих, совершенных Andariel Group, ответвлением Lazarus, которое, как полагают, связано с Северной Кореей.
По данным Bleeping ComputerВ ходе майской волны атак было зафиксировано как минимум девять отдельных уязвимостей ActiveX.
Исследователи AlienVault Крис Доман и Хайме Бласко сказал в блоге на этой неделе что Южная Корея является уязвимой целью этих атак из-за постановлений правительства, которые требуют частого включения ActiveX на машинах, подключенных к институту.
vrenture.com/: Северная Корея использует технологии Microsoft, Apple и Samsung в кибератаках
Исследовательская группа углубилась в кампанию. По данным AlienVault, первым шагом к компрометации является скрипт профилирования, используемый для сбора информации о потенциальных целях. Этот метод Lazarus уже использовал ранее.
Затем развертываются дополнительные сценарии для сбора дополнительной информации и доставки эксплойта ActiveX.
Используемый скрипт аналогичен многим наборам эксплойтов, с помощью которых браузеры идентифицируются наряду с операционной системой, используемой потенциальной жертвой.
Lazarus, похоже, скопировал значительный объем кода из Плагин-обнаружение PinLady, законная библиотека Javascript, которая обнаруживает плагины браузера.
«Если объект использует Internet Explorer, он проверяет, разрешен ли ему запуск ActiveX, и какие плагины включены из определенного списка компонентов ActiveX», — говорят исследователи.
Если обнаружена правильная комбинация, будет развернут эксплойт ActiveX. Затем загружается и выполняется дополнительная полезная нагрузка, содержащая вредоносное ПО.
Вредоносная программа под названием splwow32.exe представляет собой простой бэкдор, который выполняет команды через командную строку. Однако протокол управления и контроля, включающий отправку сообщений типа «Успех!» и «Добро пожаловать!» на отдельных стадиях инфекции различны.
Техреспублика: Северная Корея, вероятно, гарантирует кибератаки путем майнинга Monero
Вредоносный код ранее был замечен при атаке на тайваньский банк. По данным BAE SystemsЛазарус нацелился на Дальневосточный международный банк (FEIB), выводя средства с зарубежных счетов путем взлома системы финансовых коммуникаций банка SWIFT.
Группа также использовала программу-вымогатель под названием «Гермес», которая, по мнению команды, «могла использоваться в качестве отвлечения внимания или прикрытия для службы безопасности во время ограбления».
IssueMakersLab предлагает что атака началась на этапе разведки в 2017 году. В этом году в домене были применены три эксплойта Water Hole. Вредоносные файлы удалены.