Andariel,作为朝鲜APT组织Lazarus的分支团伙,主要负责对外进行军事活动,近期被曝该团伙利用ActiveX 0day进行攻击,据相关人士透露,该漏洞与三星SDS Acube相关。
Acube是由三星企业部门开发的基于桌面的组件应用程序。该应用程序在韩国企业中很受欢迎,并且还支持ActiveX控件。
ActiveX是由Microsoft创建的软件框架。它的开发旨在支持各种互动功能,并且已经在Internet Explorer,Office等流行应用程序中嵌入。
目前虽然漏洞已经修复,但其实后面的相关攻击资源并没有被披露,此前我一直对该事件跟踪过,也推送过几次,但一直没有看见相关资源,最后发现了alienvault对此事件进行了详细分析。
脚本方面
下面这张图片之前也推送过,算是这次事件的唯一的线索。从这些线索展开后。实际可以从urlscan发现了一些线索。
实际上可以把一些缓存的脚本下载下来(此时真实环境的脚本已经失效)