Google twierdzi, że Korea Północna zaatakowała lukę dnia zerowego w przeglądarce Internet Explorer

Google twierdzi, że Korea Północna zaatakowała lukę dnia zerowego w przeglądarce Internet Explorer

Analitycy cyberbezpieczeństwa z grupy Google Threat Analysis Group (TAG) odkryli lukę dnia zerowego w przeglądarce Internet Explorer (IE) (otwiera się w nowej karcie), wykorzystywaną przez znanego północnokoreańskiego hakera.

W poście na blogu (otwiera się w nowej karcie), szczegółowo opisującym swoje ustalenia, grupa stwierdziła, że ​​widziała grupę APT37 (znaną również jako Erebus) atakującą ludzi w Korei Południowej za pomocą uzbrojonego pliku Microsoft Word.

Plik nosi tytuł „221031 Seoul Yongsan Itaewon Accident Response Situation (06:00).docx”, co odnosi się do niedawnej tragedii, która miała miejsce w Itaewon w Seulu podczas tegorocznych obchodów Halloween, gdzie co najmniej 158 osób straciło życie. , z kolejnymi 200 rannymi. Najwyraźniej napastnicy chcieli wykorzystać zainteresowanie opinii publicznej i mediów incydentem.

Nadużywanie starych wad

Po przeanalizowaniu dostarczonego dokumentu TAG odkrył, że pobrał zdalny szablon Rich Text File (RTF) do docelowego punktu końcowego, który następnie pobrał zdalną zawartość HTML. Microsoft mógł wycofać Internet Explorera i zastąpić go Edge, ale Office nadal renderuje zawartość HTML za pomocą IE, co jest znanym faktem, że cyberprzestępcy nadużywają zadeklarowanego TAG od co najmniej 2017 roku.

Teraz, gdy pakiet Office renderuje zawartość HTML za pomocą przeglądarki IE, osoby atakujące mogą nadużywać wykrytego w silniku JScript przeglądarki dnia zerowego.

Zespół znalazł lukę w „jscript9.dll”, silniku JavaScript przeglądarki Internet Explorer, który umożliwiał hakerom wykonanie dowolnego kodu podczas renderowania strony internetowej pod ich kontrolą.

Firma Microsoft została powiadomiona 31 października 2022 r., A trzy dni później usterka została oznaczona jako CVE-2022-41128, a łatka została wydana 8 listopada.

Podczas gdy dotychczasowy proces tylko zagraża urządzeniu, TAG nie zorientował się, w jakim celu. Powiedział, że nie znalazł ostatecznego ładunku APT37 dla tej kampanii, ale dodał, że w przeszłości obserwowano grupę dostarczającą złośliwe oprogramowanie, takie jak Rokrat, Bluelight czy Dolphin. .

Via: The Verge (Otwiera się w nowej karcie)