黑客在攻击中滥用ActiveX

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

据AlienVault报道,韩国一家专注于国家安全的智库的最近发现的ActiveX零日漏洞已被朝鲜联系的拉扎鲁斯组织滥用。

黑客在攻击中滥用ActiveX

大多数系统通常禁用ActiveX控件,但韩国政府要求在国内的机器上启用它们。这导致了许多攻击滥用ActiveX攻击韩国系统,许多攻击归因于朝鲜黑客。

这同样适用于新观察到的攻击,其中JavaScript代码用于部署各种ActiveX漏洞,包括零日。袭击事件发生后不久,当地媒体将他们归因于Andariel团伙,该团伙据说是Lazarus的一部分,该团体是国家主持的黑客组织,被认为是对银行最严重的威胁。

也被称为BlueNoroff,该集团已策划高调攻击,如遭到毁灭性袭击针对索尼影业在2014年后期和$ 81万的网络海斯特在2016年从孟加拉国的帐户在纽约联邦储备银行今年,演员理应切换目标加密货币,但也打在中美洲的网上赌场。

根据一份新的AlienVault 报告,Lazarus黑客也是最近公布的ActiveX攻击的幕后黑手。

该小组使用分析脚本作为初始侦察工具,试图收集关于可能目标的信息。虽然这是拉撒路集团之前采用的策略,但其他威胁行为者也是如此。

攻击的下一步涉及能够从系统收集额外信息的脚本,并且旨在提供ActiveX漏洞利用。

在几周前的推特中,Cyber​​ Warfare Intelligence Center和IssueMakersLab创始人Simon Choi分享了关于攻击中使用的脚本的一些细节,显示2017年1月部署了初步侦察阶段,而脚本注入仅发生在2018年4月下旬。

该脚本旨在识别在受害者机器上运行的浏览器和操作系统,并从PinLady的Plugin-Detect中借用大量代码。当在一台机器上检测到Internet Explorer时,该脚本检查是否启用了ActiveX,以及运行的插件(来自特定的ActiveX组件列表)。

AlienVault还指出,攻击中涉及的其他脚本之一显然是用于分析的,它将数据发送到可能早已被破坏的网站,因为它之前被记录为Lazarus恶意软件的命令和控制(C&C)服务器在2015年。

最近的袭击中使用的ActiveX漏洞也是由Simon Choi在Twitter上分享的,旨在从peaceind [。] co.kr下载恶意软件 并将其作为splwow32.exe保存到系统中。

“Splwow32.exe是一个非常罕见的恶意软件文件名,之前曾在台湾银行抢劫案中被发现,该案又被归咎于另一个拉撒路攻击者的子集。我们也注意到,peaceind [。] co.kr网站之前被认定为脆弱的,“AlienVault说。

该恶意软件似乎被称为Akdoor,这是一个简单的后门,旨在使用命令提示符执行命令。安全研究人员说,恶意软件还使用“独特的命令和控制协议”。

CE安全网

发表评论

您必须登录才能发表评论!