Se confirmó un ataque dirigido presuntamente llevado a cabo por un grupo relacionado con Corea del Norte utilizando documentos PDF. Se presume que el grupo de ataque es Kimsuky o Thallium, pero existe la posibilidad de que el grupo de ataque lo haya imitado. Aunque el contenido relacionado ya ha sido reportado en los medios, este blog también revela información no revelada de análisis del entorno de desarrollo de vulnerabilidades y COI .
El atacante usó el archivo del documento PDF como cebo de ataque. A través de la vulnerabilidad del programa Adobe Acrobat, se ejecuta JavaScript malicioso contenido en documentos PDF y los archivos EXE maliciosos (números de archivo [2], [4]) se ejecutan en la memoria del sistema. Se cree que se utilizó la vulnerabilidad use-after-free CVE-2020-9715. Esta vulnerabilidad está actualmente parcheada con actualizaciones de seguridad y los usuarios de programas de Adobe Acrobat que no se hayan actualizado pueden ser atacados.
Se identificaron un total de 7 archivos de documentos PDF maliciosos. Excepto para fines de prueba de vulnerabilidad (PoC), hay cuatro archivos que probablemente se hayan utilizado realmente en el ataque: los números de archivo [1], [3], [11] y [12]. Dado que contiene contenido relacionado con las relaciones intercoreanas en común, parece que el ataque fue dirigido a personas u organizaciones relacionadas con él. Los ataques que utilizan archivos de documentos PDF no se encuentran en muchos ataques dirigidos existentes, por lo que pueden verse como un nuevo método de ataque.
Además, se encontraron por separado tres archivos DLL maliciosos cuya ruta de distribución no se identificó con precisión: números de archivo [8], [9] y [10]. La función es muy similar a los archivos EXE [2] y [4], pero existen diferencias en el tipo de archivo y la forma de distribución. Es posible que se haya distribuido a través de archivos PDF no descubiertos u otras rutas.
| número | Nombre de archivo (contenido del documento) | Tipo de archivo |
| Uno | Material de la 4ta guía AMP.pdf | archivo PDF |
| 2 | Ninguno (sin archivo) | Archivo EXE |
| 3 | Contenidos relacionados con la aprobación de la Asamblea Nacional para la Cumbre Intercoreana y el Debate de Políticas para la Realización de un Sistema de Paz en la Península de Corea | archivo PDF |
| 4 | Ninguno (sin archivo) | Archivo EXE |
| 5 | Contenido del manual de Adobe DC | archivo PDF |
| 6 | Contenido del manual de Adobe DC | archivo PDF |
| 7 | Contenido del manual de Adobe DC | archivo PDF |
| 8 | ccom1.down | Archivo DLL |
| 9 | ccom2.down | Archivo DLL |
| 10 | ccom3.down | Archivo DLL |
| 11 | Cuestionario de entrevista-Choi Eun-yul (coreano) .pdf | archivo PDF |
| 12 | 05_64-1 Revisión de la dirección de la reforma de defensa desde la perspectiva de la teoría de la innovación en la gestión de Jeong Yeon-bong.pdf (archivo no recopilado) | archivo PDF |
Archivo de documento PDF
Este es un archivo de documento PDF malicioso utilizado en este ataque. La ruta de distribución del archivo PDF no se confirmó y el objetivo del ataque también se desconocía. Sin embargo, se presume que el ataque fue dirigido a personas u organizaciones relacionadas con el documento, ya que el contenido del documento generalmente incluía contenido relacionado con las relaciones intercoreanas. Parece que el atacante obtuvo el documento real en línea y agregó el código malicioso. - Números de archivo [1], [3], [11], [12] respectivamente.
En el caso de archivos de documentos PDF maliciosos que parecen utilizarse para pruebas de vulnerabilidad (PoC), el manual de Adobe DC es el documento original. Se encontraron un total de tres, y se consideran archivos de prueba porque el JavaScript incluido en su interior y la función que finalmente se ejecutará son solo simples programas de calculadora. Se cargó en el sitio VirusTotal en mayo de 2021, y el atacante parece haber preparado un ataque desde entonces.
No hay comentarios.:
Publicar un comentario