Un grupo de ciberespionaje de Corea del Norte explotó un día cero de ActiveX para infectar los objetivos de Corea del Sur con malware o robar datos de sistemas comprometidos
Los perpetradores de estos ataques se conocen como el Grupo Andariel. Según un informe redactado por la firma de seguridad cibernética de Corea del Sur AhnLab, el Grupo Andariel es una unidad más pequeña del grupo más grande y conocido de Lazarus Group, el aparato de ciberespionaje de Corea del Norte, que se cree es una unidad de su ejército.
Los ataques comenzaron el mes de abril
Los medios locales informan que los hackers de Andariel implementaron al menos nueve vulnerabilidades ActiveX separadas para sus ataques, incluido un nuevo día cero.
El método de acción preferido es a través de ataques de abrevadero: emplazar sitios legítimos, alojar código de explotación e infectar a todos los visitantes entrantes hasta que se comprometa un objetivo de alto valor.
Los atacantes de Andariel generalmente despliegan un troyano de puerta trasera en los hosts infectados, que utilizan para buscar y recopilar información.
"La vulnerabilidad de día cero se ha encontrado en estos ataques", dijo un funcionario gubernamental de la Agencia de Internet y Seguridad de Corea (KISA) a los medios locales [cita traducida].
Los piratas informáticos de Corea del Norte, y en particular el Grupo Andariel, tienen un historial de uso de vulnerabilidades ActiveX, según los medios locales y Simon Choi, un investigador de seguridad de Corea del Sur y fundador del Centro de Inteligencia de Guerra Cibernética.
Un investigador de seguridad de Corea del Sur dijo que el día cero de ActiveX está conectado a los ataques a las instalaciones de Samsung SDS Acube.
Acube es una aplicación de software de escritorio basada en escritorio desarrollada por la división empresarial de Samsung. La aplicación es popular entre las empresas de Corea del Sur, y también es compatible con los controles ActiveX.
ActiveX es un marco de software creado por Microsoft. Fue desarrollado para admitir una amplia gama de funciones interactivas y se ha incorporado a través del tiempo en aplicaciones populares como Internet Explorer, Office y otras.
Samsung ha lanzado una actualización de Acube para evitar la explotación de este día cero a través de su aplicación. El equipo CERT de Corea del Sur también emitió una alerta de seguridad el lunes, junto con instrucciones sobre cómo las empresas podrían actualizar sus instalaciones de Acube.
Los hackers norcoreanos siguen pirateando a pesar de las conversaciones de paz
Pero hasta que surjan más detalles sobre este misterioso día cero de ActiveX, el principal punto a tomar de estos informes es que los ciberataques llevados a cabo por piratas informáticos norcoreanos no han disminuido a pesar de las conversaciones de paz en curso entre los funcionarios de Corea del Norte y Corea del Sur.
Los expertos en seguridad esperaban una desaceleración de la actividad de ciberespionaje de Corea del Norte en Corea del Sur, similar a la desaceleración de las operaciones de piratería informática de China después de que Estados Unidos y China firmaron un acuerdo diplomático de ciberseguridad a finales de 2015.
Pero no ha sido así. Cinco proveedores de seguridad cibernética -Dell SecureWorks, McAfee, Symantec, FireEye y Recorded Future- han compartido recientemente sus observaciones de la actividad cibernética reciente de Corea del Norte en un informe de Cyberscoop , destacando que las campañas de ciberespionaje del Norte se han mantenido al mismo tiempo nivel, o crecido en las últimas semanas.
El Departamento de Seguridad Nacional de EE.UU. Y el Buró Federal de Investigaciones emitieron una declaración conjunta esta semana, vinculando dos cepas de malware -Brambul y Joanap- con el Grupo Lazarus (conocido como Hidden Cobra por las autoridades estadounidenses).
Fecha actualización el 2021-05-31. Fecha publicación el 2018-05-31. Categoría: corea. Autor: Oscar olg Mapa del sitio Fuente: blemmpingcomputer