Zero DAY en IE aparece en los ataques dirigidos contra instalaciones militares de Corea

El malware, que lleva el nombre de un personaje del videojuego Dishonored, continúa actuando contra una serie sitios web de alto perfil militar y social; el último ataque apareció hace unos 10 días.

La campaña conocida como Sunshop está dirigida a una serie de sitios web coreanos enfocados en la estrategia política y militar, así como el foro relacionado con la etnia Uyghur entre otros. El malware aprovecha un par de vulnerabilidades de ZERO DAY de Java e IE 8, recientemente utilizadas contra el Departamento Laboral de Estados Unidos y otros sitios. Los exploits permitieron redirigir a las víctimas al sitio sunshop.com.tw, el cual se utiliza para albergar muestras de malware, incluyendo a Lady Boyle, que ha sido utilizado en ataques contra los Uyghur y Winnti.

El malware Lady Boyle es un troyano de acceso remoto, tiene servicio desde tres diferentes comandos de control (C&C) para los ataques Sunshop. Los usuarios de IE 8 que son redirigidos al sitio comprometido son afectados con un exploit que afecta la vulnerabilidad descrita en CVE-2013-1347, dicho exploit es enviado desde el sitio hk.sz181.com conectado a un servidor C&C en dns.homesvr.tk. Los dos exploits de Java afectan CVE-2013-2423 y CVE-2013-1493. Se reporta que las vulnerabilidades han sido solucionadas. El dominio de todos los servidores C&C, según FireEye, resolvieron la dirección IP 58.64.205.53, utilizada para alojar el malware Briba, también conocido como IExplorer RAT, muestra dirigida a organizaciones no gubernamentales.

“El tipo de malware RAT (Remote Access Trojan) proporciona acceso a un equipo de cómputo, ejecuta comandos, obtiene información de las víctimas, carga nuevos ejecutables o ejecuta comandos en el shell”, dijo Moran.

Los investigadores de FireEye también descubrieron una conexión entre sunshop.com.tw y el troyano de acceso remoto Poisonlvy el cual fue  usado en otros ataques.

 Fuente