منو سایت

  • خانه
  • وبلاگ
  • هکرهای کره شمالی از اینترنت اکسپلورر روز صفر برای انتشار بدافزار بهره برداری کردند • TechCrunch

هکرهای کره شمالی از اینترنت اکسپلورر روز صفر برای انتشار بدافزار بهره برداری کردند • TechCrunch

 تاریخ انتشار :
/
  وبلاگ
هکرهای کره شمالی از اینترنت اکسپلورر روز صفر برای انتشار بدافزار بهره برداری کردند • TechCrunch

هکرهای کره شمالی از اینترنت اکسپلورر روز صفر برای انتشار بدافزار بهره برداری کردند • TechCrunch

به گزارش گروه تحلیل تهدیدات گوگل، هکرهای دولتی کره شمالی از یک آسیب پذیری روز صفر ناشناخته در اینترنت اکسپلورر برای هدف قرار دادن کاربران کره جنوبی با بدافزار استفاده کردند.

محققان گوگل می گویند که برای اولین بار نقص روز صفر را در 31 اکتبر کشف کردند، زمانی که چندین نفر یک سند مخرب مایکروسافت آفیس را در ابزار VirusTotal این شرکت آپلود کردند. گمان می‌رود این اسناد گزارش‌های دولتی مربوط به فاجعه Itaewon باشد، درگیری اوباش که در طول جشن‌های هالووین در منطقه Itaewon سئول رخ داد. حداقل 158 نفر کشته و 196 نفر دیگر زخمی شدند.

کلمنت لسین و بنوا استیونز از گوگل TAG روز چهارشنبه گفتند: «این حادثه به طور گسترده ای منتشر شد و فریب از علاقه عمومی گسترده در این حادثه استفاده کرد.

اسناد مخرب برای سوء استفاده از یک آسیب‌پذیری روز صفر در موتور برنامه‌نویسی اینترنت اکسپلورر ردیابی شده به‌عنوان CVE-2022-41128 با درجه‌بندی شدت CVSS 8.8 طراحی شده‌اند. پس از باز شدن، سند پس از دانلود یک الگوی فایل متنی غنی (RTF) از راه دور که HTML راه دور را با استفاده از اینترنت اکسپلورر ارائه می‌کند، یک بار ناشناخته را تحویل می‌دهد. اگرچه اینترنت اکسپلورر در ماه ژوئن رسماً بازنشسته شد و مایکروسافت اج جایگزین آن شد. آفیس همچنان از موتور اینترنت اکسپلورر برای اجرای جاوا اسکریپت که حمله را فعال می کند استفاده می کند.

Lecigne و Stevens می‌گویند: «این تکنیک از سال 2017 به طور گسترده برای توزیع اکسپلویت‌های IE از طریق فایل‌های Office استفاده شده است. “ارائه اکسپلویت های IE از طریق این بردار این مزیت را دارد که هدف را ملزم نمی کند از اینترنت اکسپلورر به عنوان مرورگر پیش فرض خود استفاده کند.”

محققان افزودند که گوگل این آسیب‌پذیری را در تاریخ 31 اکتبر به مایکروسافت گزارش داد، قبل از اینکه یک هفته بعد به عنوان بخشی از به‌روزرسانی‌های امنیتی مایکروسافت در نوامبر 2022 وصله شود.

گوگل دارد نسبت داده فعالیت یک گروه هکری تحت حمایت کره شمالی به نام APT37 که حداقل از سال 2012 فعال بوده است و قبلاً دیده شده بود که از آسیب پذیری های روز صفر برای هدف قرار دادن کاربران کره جنوبی، فراریان کره شمالی، سیاستمداران، روزنامه نگاران و فعالان حقوق بشر استفاده می کند. شرکت امنیت سایبری FireEye قبلاً گفت که با “اطمینان بالا” ارزیابی کرده است که فعالیت APT37 از طرف دولت کره شمالی انجام می شود و خاطرنشان کرد که ماموریت اصلی این گروه “جمع آوری اطلاعات مخفیانه در حمایت از منافع استراتژیک نظامی، سیاسی و اقتصادی کره شمالی است. کشور کره. “

در حالی که محققان گوگل فرصتی برای تجزیه و تحلیل بدافزار APT37 که هکرها سعی در استقرار آن در برابر اهداف خود داشتند، نداشتند، آنها خاطرنشان کردند که این گروه به استفاده از انواع بدافزارها معروف است.

Lecigne و Stevens می‌گویند: «اگرچه ما یک محموله نهایی را برای این کمپین بازیابی نکردیم، اما قبلاً مشاهده کرده‌ایم که همان گروه ایمپلنت‌های مختلفی مانند ROKRAT، BLUELIGHT و DOLPHIN را تحویل می‌دهند. ایمپلنت‌های APT37 معمولاً از سرویس‌های ابری قانونی مانند کانال C2 سوء استفاده می‌کنند و قابلیت‌های معمول اکثر درهای پشتی را ارائه می‌دهند.

تحقیقات گوگل TAG پس از آن انجام شد که محققان شرکت اطلاعاتی تهدید سیسکو تالو فاش کردند که گروه هکری دولتی کره شمالی Lazarus – همچنین به نام APT38 شناخته می شود – از آسیب پذیری Log4Shell برای هدف قرار دادن تامین کنندگان انرژی در ایالات متحده، کانادا و ژاپن استفاده کرده است.