Исследователи кибербезопасности из группы анализа угроз Google (TAG) обнаружили уязвимость нулевого дня в браузере Internet Explorer (IE). (откроется в новой вкладке) используется известным северокорейским злоумышленником.
В Сообщение блога (откроется в новой вкладке) Подробно описывая свои выводы, группа заявила, что обнаружила группу APT37 (также известную как Erebus), которая нацеливалась на людей в Южной Корее с помощью файла Microsoft Word, используемого в качестве оружия.
Файл называется «221031 Seoul Yongsan Itaewon, аварийно-спасательная ситуация (06:00).docx», что является отсылкой к недавней трагедии, произошедшей в Итхэвоне, Сеул, во время празднования Хэллоуина в этом году, когда по меньшей мере 158 человек потеряли свои жизней, еще 200 получили ранения. Судя по всему, злоумышленники хотели воспользоваться вниманием общественности и СМИ к инциденту.
Злоупотребление старыми недостатками
Проанализировав распространяемый документ, TAG обнаружил, что он загружает удаленный шаблон форматированного текстового файла (RTF) в целевую конечную точку, которая затем захватывает удаленный HTML-контент. Microsoft, возможно, удалила Internet Explorer и заменила его на Edge, но Office по-прежнему отображает HTML-контент с помощью IE, что является известным фактом, которым злоумышленники злоупотребляют по крайней мере с 2017 года, сообщает TAG.
Теперь, когда Office отображает HTML-контент с помощью IE, злоумышленники могут злоупотреблять уязвимостью нулевого дня, которую они обнаружили в движке JScript IE.
Команда обнаружила уязвимость в «jscript9.dll», движке JavaScript Internet Explorer, который позволял злоумышленникам выполнять произвольный код при отображении веб-сайта, находящегося под их контролем.
Microsoft была предупреждена 31 октября 2022 года, а уязвимость, обозначенная как CVE-2022-41128, появилась через три дня, а исправление было выпущено 8 ноября.
Хотя этот процесс пока только компрометирует устройство, TAG не обнаружил, с какой целью. Окончательная полезная нагрузка APT37 для этой кампании не была обнаружена, но добавилось, что в прошлом группа была замечена в доставке вредоносных программ, таких как Rokrat, Bluelight или Dolphin.
С помощью: Грань (откроется в новой вкладке)
