Global Preloader
Vulnerabilidad
(12/Jun/2018) Hackers de Corea del Norte atacan ActiveX

Hackers de Corea del Norte atacan ActiveX

Una vulnerabilidad de día cero de ActiveX descubierta recientemente en el sitio web de un grupo de expertos de Corea del Sur centrado en la seguridad nacional ha sido utilizada por el grupo Lazarus vinculado con Corea del Norte en los ataques, informa AlienVault.

Los controles ActiveX generalmente están deshabilitados en la mayoría de los sistemas, pero el gobierno de Corea del Sur exige que estén habilitados en las máquinas del país. Esto ha llevado a numerosos ataques que abusan de ActiveX para comprometer sistemas en Corea del Sur, con muchos de los ataques atribuidos a hackers norcoreanos.

Lo mismo se aplica a los ataques recientemente observados, donde el código JavaScript se utilizó para explotar varias vulnerabilidades en ActiveX, incluído día cero. Poco después de que ocurrieran los ataques, los medios locales los atribuyeron a la pandilla Andariel, que se dice que es parte de Lazarus, el grupo de hackers patrocinado por el estado considerado la amenaza más seria contra los bancos.

La secuencia de comandos se diseñó para identificar el navegador y el sistema operativo que se ejecuta en la máquina de la víctima y toma prestado gran parte del código de PinLady's Plugin-Detect. Al detectar Internet Explorer en una máquina, la secuencia de comandos comprueba si ActiveX está habilitado, así como los complementos en ejecución (de una lista específica de componentes ActiveX).

AlienVault también señala que uno de los otros scripts involucrados en el ataque, aparentemente utilizado para crear perfiles, envía datos a un sitio web que podría haberse comprometido hace un tiempo, ya que se registró como servidor de comando y control para malware Lazarus. en 2015.

El exploit ActiveX utilizado en el asalto reciente, también compartido por Simon Choi fundador de CWIC(Cyber Warfare Intelligence Center en Twitter, tenía la intención de descargar malware de peaceind [.] Co.kr y guardarlo en el sistema como splwow32.exe.

"Splwow32.exe es un nombre de archivo bastante raro para el malware, y se vio anteriormente en el atraco del banco de Taiwán que se ha atribuido a otro subconjunto de los atacantes de Lazarus. También observamos que el sitio de peaceind [.] Co.kr ha sido previamente identificado como vulnerable ", dice AlienVault.

El malware parece ser llamado Akdoor, una puerta trasera simple diseñada para ejecutar comandos usando el símbolo del sistema. El malware también utiliza un "protocolo de comando y control distintivo", dicen los investigadores de seguridad.