TKI TE KETE IPURANGI Communities Schools
MINISTRY OF EDUCATION
You are here: Home > Berita Piala Dunia

Flash 0-Day di Alam Liar: Grup 123 di Kendali

sr6666 slot

demo slot pg soft pinata wins

29hoki slot login

apk slot depo 10k

Rangkuman Eksekutif

Pada 1 Februari, Adobe menerbitkan advisori tentang kerentanan Flash (CVE-2018-4878). Kerentanan ini adalah use-after-free yang memungkinkan eksekusi kode jarak jauh melalui objek Flash yang salah format. Selain itu, KISA (Korean CERT) menerbitkan advisori tentang Flash 0-day yang digunakan di alam liar. Para analis keamanan mengidentifikasi bahwa seorang penyerang mengeksploitasi kerentanan ini dengan objek Flash yang disematkan dalam dokumen Microsoft Excel. Dengan membuka dokumen tersebut, eksploitasi dijalankan untuk mengunduh muatan tambahan dari situs web yang dikompromikan. Muatan yang diunduh adalah alat administrasi jarak jauh terkenal bernama ROKRAT, yang sering digunakan dengan platform cloud untuk mengeksfiltrasi dokumen dan mengelola sistem yang terinfeksi.

Flash 0-Day: CVE-2018-4878

Kampanye ini dimulai dengan lembar Microsoft Excel berbahaya yang berisi objek ActiveX, yaitu file SWF (Flash). Kerentanan use-after-free CVE-2018-4878 digunakan untuk mengunduh muatan tambahan dari server web yang dikompromikan. Muatan ini adalah shellcode yang dimuat di memori dan dieksekusi. Eksploitasi Flash telah diidentifikasi sejak November 2017. Alur kerja eksploitasi melibatkan dokumen Excel berisi objek ActiveX Flash, yang kemudian mengeksploitasi kelemahan use-after-free untuk mengunduh dan mengeksekusi shellcode.

C&C dan Muatan ROKRAT

Tujuan eksploitasi adalah mengunduh dan mengeksekusi muatan tambahan dari internet. Berikut adalah beberapa URL tempat muatan tambahan ini diunduh:

  • hxxp://www[.]1588-2040[.]co[.]kr/conf/product_old.jpg
  • hxxp://www[.]1588-2040[.]co[.]kr/design/m/images/image/image
  • hxxp://www[.]korea-tax[.]info/main/local
  • hxxp://www[.]dylboiler[.]co[.]kr/admincenter/files/board/4/manager

Semua URL ini adalah situs web yang dikompromikan di Korea Selatan. Beberapa URL tersebut menghosting shellcode yang digunakan untuk membongkar dan mengeksekusi varian ROKRAT. Berikut adalah PDB sampel ini: d:\HighSchool\version 13\2ndBD\T+M\T+M\Result\DocPrint. PDB yang sama telah diidentifikasi sebelumnya. Eksploitasi digunakan untuk menjatuhkan ROKRAT pada sistem yang dikompromikan. Salah satu sampel ROKRAT menggunakan referensi penamaan ke Hancom Secure AnySign, aplikasi sah untuk PKI dan autentikasi yang banyak digunakan di Korea Selatan. Pada Januari 2018, laporan 'Korea In The Crosshair' merinci kampanye sebelumnya oleh Grup 123, yang menyatakan bahwa serangan ini akan terus berkembang, dan kini dalam beberapa minggu, evolusi Grup 123 telah terlihat.

Indikator Kompromi (IOC)

Eksploitasi Flash:

  • fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
  • 3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c

Sampel ROKRAT:

  • E1546323dc746ed2f7a5c973dcecc79b014b68bdd8a6230239283b4f775f4bbd

URL:

  • hxxp://www[.]1588-2040[.]co[.]kr/conf/product_old.jpg
  • hxxp://www[.]1588-2040[.]co[.]kr/design/m/images/image/image
  • hxxp://www[.]korea-tax[.]info/main/local
  • hxxp://www[.]dylboiler[.]co[.]kr/admincenter/files/board/4/manager
FLASHBET88

▲ Kembali ke atas

Platform Lainnya

sport855​

dy777 slot login

bdo max character slots

antwerp vs standard liege

Berita Piala Dunia

macau99

casino fiable en ligne

melbourne cup bet

situs slot minimal deposit 1000

Jika Anda memiliki pertanyaan, silakan kirim email ke [email protected]

▲ Kembali ke atas