在造成至少 158 人死亡的梨泰院万圣节人群拥堵之后,朝鲜国家支持的 APT37 黑客组织利用以前未知的 Internet Explorer 漏洞在试图了解万圣节的韩国人的设备上安装恶意软件悲剧, 根据谷歌的威胁分析小组。在多名韩国人将恶意 Microsoft Office 文档上传到公司的VirusTotal工具后,该团队于 10 月 31 日意识到了最近的攻击。
APT37 通过在一份看似官方的文件中引用该事件,利用了梨泰院悲剧中的国家利益。一旦有人在他们的设备上打开该文档,它就会下载一个富文本文件远程模板,该模板反过来会使用 Internet Explorer 呈现远程 HTML。据谷歌称,这是一种自 2017 年以来广泛用于分发漏洞的技术,因为它允许黑客利用 Internet Explorer 中的漏洞,即使有人没有使用 IE 作为他们的默认网络浏览器。
APT37 利用 JavaScript 漏洞允许该组织执行任意代码。谷歌在发现零日漏洞的同一天就通知了微软。 11 月 8 日,微软发布了一个软件更新来解决这个漏洞。谷歌表示:“如果我们不承认微软团队对这个漏洞的快速反应和修补,我们就是失职了。”
虽然 TAG 团队没有机会分析 APT37 黑客试图针对其目标部署的最终恶意软件,但它指出该组织以使用各种恶意软件而闻名,包括 ROKRAT、BLUELIGHT 和 DOLPHIN。 “TAG 还确定了其他可能利用相同漏洞和类似目标的文件,这些文件可能是同一活动的一部分,”该团队补充说。
这不是谷歌威胁分析小组第一次挫败朝鲜黑客的攻击。 2021 年初,该团队详细介绍了一项针对安全研究人员的活动。最近,该团队与 Chrome 团队合作解决了两个朝鲜黑客干部用来执行远程代码的漏洞。