据谷歌的威胁分析小组称,朝鲜政府资助的黑客利用Internet Explorer中以前未知的零日漏洞向韩国用户发送恶意软件。
谷歌研究人员于 10 月 31 日首次发现该零日漏洞,当时多人将恶意Microsoft Office文档上传到该公司的 VirusTotal 工具。这些文件据称是与梨泰院悲剧有关的政府报告,梨泰院悲剧发生在首尔梨泰院附近的万圣节庆祝活动期间。至少有158人遇难,另有196人受伤。
“这起事件被广泛报道,并且诱饵利用了公众对事故的广泛兴趣,”谷歌 TAG 的克莱门特莱西涅和伯努瓦史蒂文斯周三表示。
这些恶意文档旨在利用 Internet Explorer 脚本引擎中的零日漏洞,跟踪为 CVE-2022-41128,CVSS 严重性等级为 8.8。一旦打开,该文档将在下载一个富文本文件 (RTF) 远程模板后传递一个未知的负载,该模板将使用 Internet Explorer 呈现远程 HTML。 尽管 Internet Explorer 在 6 月正式退役并被Microsoft Edge取代, Office 仍然使用 IE 引擎来执行启用攻击的 JavaScript。
“自 2017 年以来,这种技术已被广泛用于通过 Office 文件分发 IE 漏洞,”Lecigne 和 Stevens 说。 “通过此向量提供 IE 漏洞利用的优点是不需要目标使用 Internet Explorer 作为其默认浏览器。”
研究人员补充说,谷歌于 10 月 31 日向微软报告了该漏洞,一周后作为微软 2022 年 11 月补丁星期二安全更新的一部分对其进行了修复。
谷歌将此次活动归因于一个名为 APT37 的朝鲜支持的黑客组织,该组织至少从 2012 年开始活跃,此前曾被观察到利用零日漏洞攻击韩国用户、朝鲜叛逃者、政策制定者、记者和人类维权人士。网络安全公司FireEye此前表示,它“高度自信”地评估 APT37 活动是代表朝鲜政府开展的,并指出该组织的主要任务“是秘密收集情报,以支持朝鲜的战略军事、政治和经济利益。 ”
虽然谷歌研究人员没有机会分析 APT37 黑客试图针对他们的目标部署的恶意软件,但他们注意到该组织以使用各种各样的恶意软件而闻名。
Lecigne 和 Stevens 说:“虽然我们没有为这次活动恢复最终的有效载荷,但我们之前观察到同一组提供了多种植入物,如 ROKRAT、BLUELIGHT 和 DOLPHIN。” “APT37 植入程序通常滥用合法的云服务作为 C2 通道,并提供大多数后门程序的典型功能。”
Google TAG 的研究是在威胁情报公司 Cisco Talos 的研究人员透露朝鲜国家资助的 Lazarus 黑客组织(也称为 APT38 )正在利用Log4Shell漏洞攻击美国、加拿大和日本的能源供应商之后进行的。
朝鲜黑客利用 Internet Explorer 零日漏洞传播恶意软件,作者Carly Page最初发表于TechCrunch