Эксперты обнаружили новую кампанию по кибершпионажу с использованием как минимум девяти брешей в платформе ActiveX, в числе которых уязвимость нулевого дня. Предположительно за атаками стоит группировка Andariel — одна из дочерних организаций Lazarus. Целью преступников является хищение данных крупных южнокорейских предприятий.

Как сообщают исследователи безопасности, атаки начались еще в прошлом месяце. По примеру родительской группировки участники Andariel заражают легитимные сайты трояном, который затем передается посетителям. Злоумышленникам остается только ждать компрометации одного из устройств интересующих их организаций.

Киберпреступников из Lazarus, предположительно связанных с руководством Северной Кореи, уже не впервые ловят на эксплуатации уязвимостей в ActiveX. Как сообщает представитель южнокорейского агентства интернет-безопасности (KISA), на этот раз в качестве одной из лазеек использовалась уязвимость нулевого дня.

Технические детали нападений пока не раскрыты, однако эксперт, пожелавший остаться неизвестным, сообщил, что эта же брешь в защите сделала возможной атаку на Samsung SDS Acube — распространенный в Южной Корее инструмент для совместной работы.

Andariel связали с Lazarus южнокорейские исследователи из компании AhnLab, причем это далеко не единственная дочерняя организация киберсиндиката, на счету которого — целый ряд нашумевших инцидентов. Считается, что именно эта APT-группировка стояла за массовой утечкой данных компании Sony Pictures в 2014 году, а «коллеги» Andariel из Bluenoroff совершили нападения на финансовые организации, казино и коммерческие структуры, оперирующие криптовалютой.

Министерство внутренней безопасности США ассоциирует с деятельностью Lazarus группировку Hidden Cobra, которая проводила масштабные DDoS-атаки против американских СМИ, промышленного и финансового сектора. Около месяца назад Тайландский центр быстрого реагирования на компьютерные преступления ThaiCERT захватил один из командных серверов Hidden Cobra, совместно с международными экспертами вскрыв масштабную вредоносную кампанию GhostSecret.

Категории: Главное, Уязвимости, Хакеры