Η Ομάδα Ανάλυσης Απειλών (TAG) της Google αποκάλυψε ότι μια ομάδα hacking από τη Βόρεια Κορέα γνωστή και ως APT37, εκμεταλλεύτηκε ένα zero-day bug του Internet Explorer με στόχο να μολύνει με malware διάφορους στόχους της Νότιας Κορέας.
Η ομάδα της Google, ενημερώθηκε για αυτήν την πρόσφατη επίθεση στις 31 Οκτωβρίου, όταν πολλοί χρήστες, “ανέβασαν” για έλεγχο στο VirusTotal ένα κακόβουλο έγγραφο του Microsoft Office με το όνομα “221031 Seoul Yongsan Itaewon incident response status (06:00).docx.”. (Το περιστατικό στη Σεούλ κατά το οποίο ποδοπατήθηκαν 158 άνθρωποι σε μια γιορτή για το Halloween.)
Δείτε επίσης: Η Indiana μηνύει το TikTok για έκθεση των παιδιών σε ακατάλληλα βίντεο
Με το που άνοιγε στις συσκευές των θυμάτων, το έγγραφο παρέδιδε ένα άγνωστο payload μετά τη λήψη ενός RTF (rich text file) remote template χρησιμοποιώντας τον Internet Explorer.
Tο loading του HTML περιεχομένου που παρέδωσε το exploit, επέτρεπε στους χάκερ να εκμεταλλευτούν το zero-day bug του Internet Explorer, ακόμα και αν τα θύματα δεν έχουν ορίσει τον συγκεκριμένο ως προεπιλεγμένο browser.
Το zero-day bug με την ονομασία CVE-2022-41128, οφείλεται σε μια αδυναμία στο JavaScript του Internet Explorer, η οποία αν γίνει exploit επιτυχώς, επιτρέπει στους επιτιθέμενους να εκτελούν αυθαίρετο κώδικα κατά την απόδοση ενός κακόβουλα δημιουργημένου site.
Η Microsoft το είχε επιδιορθώσει στην Patch Tuesday του περασμένου μήνα, στις 8 Νοεμβρίου. Μόλις πέντε ημέρες αφότου της έβαλε το αναγνωριστικό CVE μετά από μια αναφορά από την TAG που ελήφθη στις 31 Οκτωβρίου.
Δείτε επίσης: Η ομάδα Agrius χρησιμοποιεί το Fantasy data wiper σε επιθέσεις supply chain
Καμία πληροφορία για το malware στις συσκευές των χρηστών
Η ομάδα TAG της Google δε μπόρεσε να αναλύσει ποιο ήταν το τελικό κακόβουλο payload που έστειλαν οι χάκερ της Βόρειας Κορέας στους υπολογιστές των θυμάτων. Αυτό που είναι γνωστό, είναι η μεγάλη ποικιλία malware που χρησιμοποιείται στις επιθέσεις τους.
Ο μηχανικός ασφαλείας Clement Lecigne και ο Benoit Stevens της Google TAG, αναφέρουν πως “αν και δεν ανακτήσαμε κάποιο τελικό ωφέλιμο φορτίο για αυτήν την καμπάνια, έχουμε παρατηρήσει στο παρελθόν ότι η ίδια ομάδα παραδίδει μια ποικιλία εμφυτευμάτων όπως το ROKRAT, το BLUELIGHT και το DOLPHIN”.
Η APT37 είναι ενεργή για περίπου μια δεκαετία, και είχε συνδεθεί και παλαιότερα με την κυβέρνηση της Βόρειας Κορέας.
Η APT37 είναι γνωστή γιατί επικεντρώνεται σε επιθέσεις “ατόμων ενδιαφέροντος” για το καθεστώς της Βόρειας Κορέας, όπως άτομα που διαφωνούν με την πολιτική της χώρας, διπλωμάτες, δημοσιογράφους, ακτιβιστές ανθρωπίνων δικαιωμάτων και κυβερνητικών υπαλλήλων.
Πηγή πληροφοριών: bleepingcomputer.com
