Meerdere Zuid-Koreaanse bedrijven zijn succesvol aangevallen via een kwetsbaarheid in de in Zuid-Korea populaire browserplug-in Cross EX, zo meldt antivirusbedrijf Kaspersky. De virusbestrijder telde zes slachtoffers, die zich bezighouden met softwareontwikkeling, it, financiën, halfgeleiders en telecom in Zuid-Korea. Volgens Kaspersky ligt het werkelijke aantal slachtoffers gezien de populariteit van Cross EX veel hoger.

Cross EX is een browserplug-in die ervoor zorgt dat plug-ins die eerder via ActiveX werkten alsnog zijn te gebruiken in omgevingen zonder deze technologie. Verder zorgt het ervoor dat geïnstalleerde plug-ins via JavaScript worden uitgevoerd. Daarnaast maakt de software het gebruik van beveiligingssoftware in verschillende browseromgevingen mogelijk.

Aanvallers hebben volgens Kaspersky zeer vermoedelijk een kwetsbaarheid in de software gebruikt om gebruikers aan te vallen. Voor het uitvoeren van de aanval werden verschillende Zuid-Koreaanse mediawebsites van malware voorzien. De exacte wijze waarop dit gebeurde heeft Kaspersky niet kunnen achterhalen. Wel staat vast dat gebruikers van de meest recente versie van Cross EX deze websites bezochten en vervolgens besmet zijn geraakt.

Daarna gebruikten de aanvallers een bekende kwetsbaarheid in Innorix Agent om zich lateraal door gecompromitteerde omgevingen te bewegen. Net als Cross EX is Innorix Agent voor sommige financiële en administratieve taken in Zuid-Korea verplicht en daardoor op veel systemen aanwezig, aldus Kaspersky. Innorix Agent is software voor het uitwisselen van bestanden op het netwerk. De aanvallers installeerden op gecompromitteerde systemen een backdoor om toegang te behouden.

Kaspersky stelt dat de aanval het werk is van een groep aanvallers genaamd Lazarus. Deze groep wordt onder andere verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. De groep richt zich ook vaak op cryptobedrijven.