Badge Cookies
Image description
FLASHBET88
Flash 0-Day di Alam Liar: Grup 123 di Kendali

Rangkuman Eksekutif

Pada 1 Februari, Adobe menerbitkan advisori tentang kerentanan Flash (CVE-2018-4878). Kerentanan ini adalah use-after-free yang memungkinkan eksekusi kode jarak jauh melalui objek Flash yang salah format. Selain itu, KISA (Korean CERT) menerbitkan advisori tentang Flash 0-day yang digunakan di alam liar. Para analis keamanan mengidentifikasi bahwa seorang penyerang mengeksploitasi kerentanan ini dengan objek Flash yang disematkan dalam dokumen Microsoft Excel. Dengan membuka dokumen tersebut, eksploitasi dijalankan untuk mengunduh muatan tambahan dari situs web yang dikompromikan. Muatan yang diunduh adalah alat administrasi jarak jauh terkenal bernama ROKRAT, yang sering digunakan dengan platform cloud untuk mengeksfiltrasi dokumen dan mengelola sistem yang terinfeksi.

Flash 0-Day: CVE-2018-4878

Kampanye ini dimulai dengan lembar Microsoft Excel berbahaya yang berisi objek ActiveX, yaitu file SWF (Flash). Kerentanan use-after-free CVE-2018-4878 digunakan untuk mengunduh muatan tambahan dari server web yang dikompromikan. Muatan ini adalah shellcode yang dimuat di memori dan dieksekusi. Eksploitasi Flash telah diidentifikasi sejak November 2017. Alur kerja eksploitasi melibatkan dokumen Excel berisi objek ActiveX Flash, yang kemudian mengeksploitasi kelemahan use-after-free untuk mengunduh dan mengeksekusi shellcode.

C&C dan Muatan ROKRAT

Tujuan eksploitasi adalah mengunduh dan mengeksekusi muatan tambahan dari internet. Berikut adalah beberapa URL tempat muatan tambahan ini diunduh:

  • hxxp://www[.]1588-2040[.]co[.]kr/conf/product_old.jpg
  • hxxp://www[.]1588-2040[.]co[.]kr/design/m/images/image/image
  • hxxp://www[.]korea-tax[.]info/main/local
  • hxxp://www[.]dylboiler[.]co[.]kr/admincenter/files/board/4/manager

Semua URL ini adalah situs web yang dikompromikan di Korea Selatan. Beberapa URL tersebut menghosting shellcode yang digunakan untuk membongkar dan mengeksekusi varian ROKRAT. Berikut adalah PDB sampel ini: d:\HighSchool\version 13\2ndBD\T+M\T+M\Result\DocPrint. PDB yang sama telah diidentifikasi sebelumnya. Eksploitasi digunakan untuk menjatuhkan ROKRAT pada sistem yang dikompromikan. Salah satu sampel ROKRAT menggunakan referensi penamaan ke Hancom Secure AnySign, aplikasi sah untuk PKI dan autentikasi yang banyak digunakan di Korea Selatan. Pada Januari 2018, laporan 'Korea In The Crosshair' merinci kampanye sebelumnya oleh Grup 123, yang menyatakan bahwa serangan ini akan terus berkembang, dan kini dalam beberapa minggu, evolusi Grup 123 telah terlihat.

Indikator Kompromi (IOC)

Eksploitasi Flash:

  • fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
  • 3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c

Sampel ROKRAT:

  • E1546323dc746ed2f7a5c973dcecc79b014b68bdd8a6230239283b4f775f4bbd

URL:

  • hxxp://www[.]1588-2040[.]co[.]kr/conf/product_old.jpg
  • hxxp://www[.]1588-2040[.]co[.]kr/design/m/images/image/image
  • hxxp://www[.]korea-tax[.]info/main/local
  • hxxp://www[.]dylboiler[.]co[.]kr/admincenter/files/board/4/manager
© 2026 - Semua hak dilindungi undang-undang. PT dengan modal Rp 10.000.000.000. Jl. Jend. Sudirman Kav. 52-53, Jakarta Selatan 12190
linkedin facebook instagram