Hacker Korut Genjar Menargetkan Korsel Dengan Eksplotasi ActiveX
17 July 2018
Add Comment
Serangkaian serangan pengintai baru yang menargetkan objek-objek ActiveX telah dikaitkan dengan hacker Andariel Group yang terkait Korea Utara, cabang terkenal dari Lazarus Group yang terkenal.
Bulan lalu Mata uang cryptocurrency Korea Selatan dikatakan berkisar KRW 35 miliar (USD31,5 juta) senilai koin virtual dicuri oleh para peretas, pertukaran lokal kedua untuk menderita nasib hanya dalam waktu satu pekan karena pencuri cyber mengekspos risiko tinggi perdagangan aset digital.
Bithumb mengatakan dalam sebuah pemberitahuan di situs webnya bahwa ia telah menghentikan semua perdagangan setelah memastikan "beberapa cryptocurrency senilai sekitar KRW 35 miliar telah disita hacker antara dua kali serangan yang dilancarkan."
Pada bulan Mei, grup ini diamati mengeksploitasi kerentanan zero-day ActiveX dalam serangkaian serangan terhadap target Korea Selatan, terutama untuk tujuan pengintaian. script yang dienjeksi ke situs web yang disusupi akan mengidentifikasi sistem operasi dan peramban pengunjung dan memeriksa ActiveX dan menjalankan plugin dari daftar spesifik komponen ActiveX jika Internet Explorer terdeteksi.
Sangat aktif dalam beberapa bulan terakhir, kelompok Andariel tampaknya telah meluncurkan serangan pengintaian baru terhadap target Korea Selatan, dengan menyuntikkan kode mereka ke dalam empat situs web lain yang dikompromikan. Serangan itu, yang terlihat pada 21 Juni, mencoba mengumpulkan informasi objek yang berbeda dari sebelumnya.
Meskipun menargetkan objek yang tidak ditargetkan sebelumnya, script yang baru ditemukan mirip dengan yang digunakan pada bulan Mei, yang menyebabkan peneliti Trend Micro sampai pada kesimpulan bahwa kelompok peretas yang sama berada di belakang kedua kampanye tersebut.
Dilansir dari Securityweek mengataan sebelumnya, grup tersebut mengumpulkan objek ActiveX yang ditargetkan pada browser Internet Explorer pengguna dan hanya meluncurkan eksploitasi zero-day setelah mengidentifikasi target yang tepat.
"Berdasarkan ini, kami percaya kemungkinan bahwa objek ActiveX baru yang kami temukan dapat menjadi target berikutnya untuk serangan memanfaatkan lubang exploit," Trend Micro menjelaskan.
Serangan baru ini berlangsung hingga 27 Juni dan menargetkan pengunjung situs web organisasi nirlaba Korea dan tiga situs web serikat pekerja pemerintah lokal Korea Selatan.
Script yang diejeksi, yang memiliki identitas dan struktur serupa seperti script Andariel-linked yang ditemukan pada bulan Mei, dirancang untuk mengumpulkan informasi pengunjung seperti jenis browser, bahasa sistem, versi Flash Player, versi Silverlight, dan beberapa objek ActiveX.
Menurut Trend Micro, script ini mencoba mendeteksi dua objek ActiveX tambahan yang sebelumnya tidak ditargetkan, yaitu yang terkait dengan perangkat lunak DRM(Digital Rights Management )dari vendor Perlindungan Keamanan Dokumen Korea Selatan dan yang terkait dengan basis perusahaan perangkat lunak konversi suara Korea Selatan.
Script ini juga menyertakan kode untuk menghubungkan websocket ke localhost. “Perangkat lunak konversi suara memiliki layanan websocket yang mendengarkan di host lokal sehingga script yang diinjeksi dapat mendeteksi perangkat lunak dengan memeriksa apakah mereka dapat membuat koneksi ke port 45461 dan 45462, yang digunakan perangkat lunak,” jelas Trend Micro. Verifikasi websocket, kata peneliti keamanan, juga dapat dilakukan di Chrome dan Firefox, selain Internet Explorer, yang akan menunjukkan bahwa peretas telah memperluas basis target mereka, yang mengarah ke perangkat lunak dan bukan hanya objek ActiveX. "Berdasarkan perubahan ini, kita dapat mengharapkan mereka untuk mulai menggunakan vektor serangan selain ActiveX," catatan Trend Micro.
0 Response to "Hacker Korut Genjar Menargetkan Korsel Dengan Eksplotasi ActiveX"
Post a Comment