Google'ın Tehdit Analiz Grubu (TAG) bugün, APT37 olarak izlenen bir grup Kuzey Koreli hacker, Güney Kore hedeflerini kötü amaçlı yazılımlarla enfekte etmek için daha önce bilinmeyen bir İnternet Explorer güvenlik açığından (sıfır gün olarak bilinir) kullandığını açıkladı.
Google Tag, Güney Kore'den birden fazla Virustotal gönderen kişinin "221031 Seul Yongsan Itaewon Kaza Müdahale Durumu (06:00). Docx adlı kötü niyetli bir Microsoft ofis belgesi yüklediğinde bu son saldırıdan haberdar edildi.
Mağdurların cihazlarında açıldıktan sonra, belge, Internet Explorer'ı kullanarak uzak HTML'yi oluşturacak zengin bir metin dosyası (RTF) uzak şablonu indirdikten sonra bilinmeyen bir yük sunacaktır.
İstismarı uzaktan teslim eden HTML içeriğinin yüklenmesi, hedefler varsayılan web tarayıcısı olarak kullanmasa bile saldırganların IE Zero gününü kullanmasına izin verir.
Güvenlik açığı (CVE-2022-41128 olarak izlenen), Internet Explorer'ın JavaScript motorundaki bir zayıflıktan kaynaklanmaktadır, bu da kötü niyetli bir web sitesi oluştururken başarılı bir şekilde yararlanan tehdit aktörlerinin keyfi kod yürütmesini sağlar.
Microsoft, 31 Ekim'de alınan TAG'ın bir raporunun ardından bir CVE kimliği atadıktan beş gün sonra 8 Kasım Salı günü geçen ayın yaması sırasında yamaladı.
Google Tag, Kuzey Koreli bilgisayar korsanları tarafından Güney Koreli hedeflerinin bilgisayarlarında dağıtılan son kötü amaçlı yükü analiz edemese de, tehdit aktörleri saldırılarına çok çeşitli kötü amaçlı yazılımlar kullandığı biliniyor.
Google Tag'den Clement Lecigne ve Benoit Stevens, "Bu kampanya için son bir yükü kurtarmamış olsak da, daha önce aynı grubun Rokrat, Bluelight ve Dolphin gibi çeşitli implantlar sunduğunu gözlemledik." Dedi.
"APT37 implantları tipik olarak meşru bulut hizmetlerini bir C2 kanalı olarak kötüye kullanır ve çoğu arka fırın için tipik özellikler sunar."
APT37, en az 2012'den beri yaklaşık on yıldır aktiftir ve daha önce FireEye tarafından yüksek güvenle Kuzey Kore hükümetine bağlanmıştı.
Tehdit grubu, muhalifler, diplomatlar, gazeteciler, insan hakları aktivistleri ve hükümet çalışanları da dahil olmak üzere Kuzey Kore rejimine ilgi duyan bireylere yönelik saldırılarını odaklamakla bilinir.
Yeni Windows kötü amaçlı yazılım, kurbanların cep telefonlarından verileri de çalıyor
Samsung Galaxy S22, PWN2OWN'ın ikinci gününde tekrar hacklendi
Samsung Galaxy S22, Pwn2own Toronto'nun ilk gününde iki kez hacklendi
Microsoft: Hackerlar Telegram üzerinden kripto para firmalarını hedef hedef
Kaynak: Bleeping Computer