به گزارش گروه تحلیل تهدیدات گوگل، هکرهای دولتی کره شمالی از یک آسیب پذیری روز صفر ناشناخته در اینترنت اکسپلورر برای هدف قرار دادن کاربران کره جنوبی با بدافزار استفاده کردند.
محققان گوگل می گویند که برای اولین بار نقص روز صفر را در 31 اکتبر کشف کردند، زمانی که چندین نفر یک سند مخرب مایکروسافت آفیس را در ابزار VirusTotal این شرکت آپلود کردند. گمان میرود این اسناد گزارشهای دولتی مربوط به فاجعه Itaewon باشد، درگیری اوباش که در طول جشنهای هالووین در منطقه Itaewon سئول رخ داد. حداقل 158 نفر کشته و 196 نفر دیگر زخمی شدند.
کلمنت لسین و بنوا استیونز از گوگل TAG روز چهارشنبه گفتند: «این حادثه به طور گسترده ای منتشر شد و فریب از علاقه عمومی گسترده در این حادثه استفاده کرد.
اسناد مخرب برای سوء استفاده از یک آسیبپذیری روز صفر در موتور برنامهنویسی اینترنت اکسپلورر ردیابی شده بهعنوان CVE-2022-41128 با درجهبندی شدت CVSS 8.8 طراحی شدهاند. پس از باز شدن، سند پس از دانلود یک الگوی فایل متنی غنی (RTF) از راه دور که HTML راه دور را با استفاده از اینترنت اکسپلورر ارائه میکند، یک بار ناشناخته را تحویل میدهد. اگرچه اینترنت اکسپلورر در ماه ژوئن رسماً بازنشسته شد و مایکروسافت اج جایگزین آن شد. آفیس همچنان از موتور اینترنت اکسپلورر برای اجرای جاوا اسکریپت که حمله را فعال می کند استفاده می کند.
Lecigne و Stevens میگویند: «این تکنیک از سال 2017 به طور گسترده برای توزیع اکسپلویتهای IE از طریق فایلهای Office استفاده شده است. “ارائه اکسپلویت های IE از طریق این بردار این مزیت را دارد که هدف را ملزم نمی کند از اینترنت اکسپلورر به عنوان مرورگر پیش فرض خود استفاده کند.”
محققان افزودند که گوگل این آسیبپذیری را در تاریخ 31 اکتبر به مایکروسافت گزارش داد، قبل از اینکه یک هفته بعد به عنوان بخشی از بهروزرسانیهای امنیتی مایکروسافت در نوامبر 2022 وصله شود.
گوگل دارد نسبت داده فعالیت یک گروه هکری تحت حمایت کره شمالی به نام APT37 که حداقل از سال 2012 فعال بوده است و قبلاً دیده شده بود که از آسیب پذیری های روز صفر برای هدف قرار دادن کاربران کره جنوبی، فراریان کره شمالی، سیاستمداران، روزنامه نگاران و فعالان حقوق بشر استفاده می کند. شرکت امنیت سایبری FireEye قبلاً گفت که با “اطمینان بالا” ارزیابی کرده است که فعالیت APT37 از طرف دولت کره شمالی انجام می شود و خاطرنشان کرد که ماموریت اصلی این گروه “جمع آوری اطلاعات مخفیانه در حمایت از منافع استراتژیک نظامی، سیاسی و اقتصادی کره شمالی است. کشور کره. “
در حالی که محققان گوگل فرصتی برای تجزیه و تحلیل بدافزار APT37 که هکرها سعی در استقرار آن در برابر اهداف خود داشتند، نداشتند، آنها خاطرنشان کردند که این گروه به استفاده از انواع بدافزارها معروف است.
Lecigne و Stevens میگویند: «اگرچه ما یک محموله نهایی را برای این کمپین بازیابی نکردیم، اما قبلاً مشاهده کردهایم که همان گروه ایمپلنتهای مختلفی مانند ROKRAT، BLUELIGHT و DOLPHIN را تحویل میدهند. ایمپلنتهای APT37 معمولاً از سرویسهای ابری قانونی مانند کانال C2 سوء استفاده میکنند و قابلیتهای معمول اکثر درهای پشتی را ارائه میدهند.
تحقیقات گوگل TAG پس از آن انجام شد که محققان شرکت اطلاعاتی تهدید سیسکو تالو فاش کردند که گروه هکری دولتی کره شمالی Lazarus – همچنین به نام APT38 شناخته می شود – از آسیب پذیری Log4Shell برای هدف قرار دادن تامین کنندگان انرژی در ایالات متحده، کانادا و ژاپن استفاده کرده است.