A Google figyelmeztetést adott ki egy Internet Explorer nulladik napi (Zero-Day) sebezhetőségre, amit az észak-koreai ScarCuft hackerei használnak ki.
Az Internet Explorer nulladik napi (Zero-Day) sebezhetőségét használta fel egy észak-koreai rosszindulatú hacker csoport, hogy dél-koreai felhasználókat célozzon meg, kihasználva a közelmúltban lezajlott Itaewon Halloween-i tömeg-pánikot, hogy rosszindulatú programok letöltésére vegye rá a felhasználókat.
A Google Threat Analysis Group kutatói, Benoît Sevens és Clément Lecigne által bejelentett felfedezés az APT37, InkySquid, Reaper és Ricochet Chollima néven is ismert ScarCruft által elkövetett legújabb támadások sorozata.
"A csoport eredendően dél-koreai felhasználókra, észak-koreai disszidensekre, politikai döntéshozókra, újságírókra és emberi jogi aktivistákra vadászik" - áll a TAG csütörtöki elemzésében.
Az új eredmények azt mutatják, hogy a fenyegető szereplők továbbra is visszaélnek az Internet Explorer olyan hibáival, mint a CVE-2020-1380 és a CVE-2021-26411, hogy olyan hátsó ajtókat helyezzenek el, mint a BLUELIGHT és a Dolphin, amelyek közül az utóbbit a szlovák ESET kiberbiztonsági cég fedezett fel a múlt hónap végén.
Egy másik kulcsfontosságú eszközük a RokRat, egy Windows-alapú távoli hozzáférési trójai program, amely számos olyan funkcióval rendelkezik, amelyek lehetővé teszik a képernyőképek rögzítését, a billentyűleütések naplózását, és még a Bluetooth-eszközök információinak begyűjtését is.
A Google TAG által megfigyelt támadási lánc egy rosszindulatú Microsoft Word dokumentumot használ, amelyet 2022. október 31-én töltöttek fel a VirusTotal oldalra. Ez egy újabb Internet Explorer Zero-Day hibával él vissza a JScript9 JavaScript-motorban, a CVE-2022-41128-al, amelyet a Microsoft a múlt hónapban foltozott be.
A fájl a szöuli Itaewon negyedben történt október 29-i incidensre hivatkozik, és a tragédia iránti közérdeklődést kihasználva, a biztonsági rés megnyitásakor a sebezhetőséget kihasználó exploitot hívja elő. A támadást az teszi lehetővé, hogy az Office az Internet Explorer segítségével rendereli a HTML-tartalmakat.
Ahogy a MalwareHunterTeam rámutat, ugyanezt a Word-fájlt a Shadow Chaser Group már korábban, 2022. október 31-én megosztotta, és "érdekes DOCX sablon mintaként" írta le, amely Koreából származik.
A sikeres kihasználást egy shellcode átadása követi, amely az Internet Explorer gyorsítótárának és előzményeinek törlésével minden nyomot eltüntet, valamint letölti és előkészíti a következő szakaszt.
A Google TAG közölte, hogy nem tudta visszafejteni a kampányban használt követő kártevőt, bár a gyanú szerint a RokRat, a BLUELIGHT vagy a Dolphin telepítéséről van szó.
"Nem meglepő, hogy továbbra is a dél-koreai felhasználókat veszik célba" - mondta Filip Jurčacko, az ESET malware-elemzője a The Hacker Newsnak. "Már jó ideje nem láttuk, hogy a ScarCruft nulladik napi exploitokat használna. Korábban n-napos exploitok nyilvános PoC-jait hasznosították újra. Tekintettel a nulladik napi kihasználások ritkaságára, arra számítunk, hogy a ScarCruft ezt néhány kifinomultabb hátsó ajtóval, például a Dolphinnal kombinálva használja. Ráadásul a [parancs- és vezérlési] tartományok (Microsoft) Office témája megegyezik a korábbi kampányokéval”.
Ez is egy újabb eset, ami azt bizonyítja, hogy érdemes elsősorban nyílt forráskódú termékeket és programokat használni, azoknál ugyanis az ilyen és ehhez hasonló incidensek hamarabb nyilvánosságra kerülnek és jóval gyorsabban is javítják ki őket - már amennyiben előfordul ilyen eset. A nyílt forráskódú termékek előnyeiről mi is írtunk korábban.
Amennyiben kérdése van, vagy segítségre van szükséges a témában, keressen minket bizalommal.