El reconocimiento es la parte clave de un ataque exitoso el Grupo Andariel que forma parte del notorio grupo Lazarus, utiliza nuevas técnicas para encontrar los objetivos adecuados para su explotación
Andariel Group inyecta sus scripts en sitios web comprometidos de Corea del Sur y recopila información de objetos ActiveX antes de que utilicen su exploit.
El grupo Andariel está activo por un par de meses. Según IssueMakersLab, el grupo usó un exploit de día cero de ActiveX para ataques de abrevadero en sitios web de Corea del Sur en mayo pasado, lo llamaron "Operación GoldenAxe".
Los investigadores de seguridad de Trend Micro detectaron que el 21 de junio el grupo Andariel inyectó un nuevo guión en cuatro sitios web surcoreanos comprometidos para recabar información. Los investigadores creen que la nueva secuencia de comandos estaba tratando de recolectar el objeto ActiveX diferente y que podría ser para sus próximos objetivos para un ataque de explotación de pozo de agua.
El reconocimiento duró entre el 21 y el 27 de junio y los guiones encontrados fueron inyectados a la comprometida organización sin fines de lucro coreana y sitios web sindicales del gobierno local coreano.
Según los investigadores, la secuencia de comandos maliciosa inyectada provino del grupo Andariel ya que tienen los mismos métodos de ofuscación y son similares a las muestras.
Los atacantes utilizaron el script para recopilar la información del usuario, como el tipo de navegador de los visitantes, el idioma del sistema, la versión de Flash Player, la versión de Silverlight y varios objetos de ActiveX.
Flujo de reconocimiento del grupo Andariel
- 1. Los atacantes comprometen el sitio web e inyectan scripts maliciosos.
- 2. Cuando un usuario accede al sitio web comprometido, se ejecutará el script malicioso.
- 3. El script malicioso ejecutado recopila la información y la envía al servidor remoto.
- 4. El atacante obtiene información sobre el objetivo.
En comparación con los scripts anteriores, el script de nueva inyección contiene dos objetos ActiveX adicionales " DSDOWNCTRL.DSDownCtrlCtrl.1 " relacionados con Digital Rights Management y " WSACTIVEBRIDGEAX.WSActiveBridgeAXCtrl.1 " relacionados con el software de conversión de voz basado en Corea del Sur que utilizan muchos públicos. e instituciones gubernamentales.
Además, el nuevo script agrega WebSocket junto con nuevos objetos ActiveX para realizar la verificación con Chrome y Firefox.
Fecha actualización el 2021-07-17. Fecha publicación el 2018-07-17. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers"Esto muestra que el atacante ha expandido su base de objetivos, y está interesado en el software en sí y no solo en sus objetos ActiveX. En función de este cambio, podemos esperar que comiencen a usar vectores de at
