هکرهای کره شمالی از اینترنت اکسپلورر روز صفر برای انتشار بدافزار سوء استفاده کردند

به گزارش اپ خونه و بر اساس گزارش گروه تحلیل تهدید گوگل، هکرهای تحت حمایت دولت کره شمالی از یک آسیب پذیری روز صفر ناشناخته در اینترنت اکسپلورر برای هدف قرار دادن کاربران کره جنوبی با بدافزار سوء استفاده کردند.

محققان گوگل برای اولین بار کشف کردند که نقص روز صفر در ۳۱ اکتبر زمانی که چندین نفر یک سند مخرب مایکروسافت آفیس را در ابزار VirusTotal شرکت آپلود کردند، کشف کردند. ظاهراً این اسناد گزارش‌های دولتی مربوط به فاجعه Itaewon است، ازدحام جمعیتی که در طول جشن‌های هالووین در محله Itaewon سئول رخ داد. حداقل ۱۵۸ نفر کشته و ۱۹۶ نفر دیگر زخمی شدند.

کلمنت لسیگن و بنویت استیونز از گوگل TAG روز چهارشنبه گفتند: «این حادثه به طور گسترده گزارش شد، و فریب از منافع عمومی گسترده در تصادف بهره می برد.»

این اسناد مخرب برای سوء استفاده از یک آسیب‌پذیری روز صفر در موتور اسکریپت اینترنت اکسپلورر طراحی شده‌اند که به‌عنوان CVE-2022-41128 با درجه‌بندی شدت CVSS 8.8 ردیابی می‌شود. پس از باز شدن، سند پس از دانلود یک الگوی راه دور فایل متنی غنی (RTF) که HTML راه دور را با استفاده از اینترنت اکسپلورر ارائه می‌کند، یک بار ناشناخته را تحویل می‌دهد.

اگرچه اینترنت اکسپلورر به طور رسمی در ماه ژوئن بازنشسته شد و مایکروسافت اج جایگزین آن شد، آفیس همچنان از موتور اینترنت اکسپلورر برای اجرای جاوا اسکریپت که حمله را فعال می کند استفاده می کند.

Lecigne و Stevens گفتند: “این تکنیک به طور گسترده برای توزیع اکسپلویت های اینترنت اکسپلورر از طریق فایل های Office از سال ۲۰۱۷ استفاده شده است.” “ارائه اکسپلویت های اینترنت اکسپلورر از طریق این بردار این مزیت را دارد که هدف را ملزم به استفاده از اینترنت اکسپلورر به عنوان مرورگر پیش فرض خود نمی کند.”

محققان افزودند که گوگل این آسیب‌پذیری را در تاریخ ۳۱ اکتبر به مایکروسافت گزارش کرد و یک هفته بعد به عنوان بخشی از به‌روزرسانی‌های امنیتی Patch Tuesday مایکروسافت در نوامبر ۲۰۲۲ آن را برطرف کرد.

گوگل این فعالیت را به یک گروه هکری تحت حمایت کره شمالی موسوم به APT37 نسبت داده است که حداقل از سال ۲۰۱۲ فعال بوده و قبلاً مشاهده شده بود که از نقص های روز صفر برای هدف قرار دادن کاربران کره جنوبی، فراریان کره شمالی، سیاست گذاران، روزنامه نگاران و انسان ها استفاده می کند. فعالان حقوق شرکت امنیت سایبری FireEye قبلاً گفت که با “اطمینان بالا” ارزیابی کرده است که فعالیت APT37 از طرف دولت کره شمالی انجام می شود و خاطرنشان کرد که ماموریت اصلی این گروه “جمع آوری اطلاعات مخفیانه در حمایت از منافع استراتژیک نظامی، سیاسی و اقتصادی کره شمالی است.” ”

در حالی که محققان گوگل فرصتی برای تجزیه و تحلیل بدافزاری که هکرهای APT37 سعی در استقرار آنها علیه اهداف خود داشتند، پیدا نکردند، آنها خاطرنشان کردند که این گروه به استفاده از طیف گسترده ای از نرم افزارهای مخرب معروف است.

Lecigne و Stevens گفتند: «اگرچه ما یک بار نهایی را برای این کمپین بازیابی نکردیم، قبلاً مشاهده کرده‌ایم که همان گروه ایمپلنت‌های مختلفی مانند ROKRAT، BLUELIGHT و DOLPHIN را تحویل می‌دهند. ایمپلنت‌های APT37 معمولاً از سرویس‌های ابری قانونی به عنوان کانال C2 سوء استفاده می‌کنند و قابلیت‌های معمول اکثر درهای پشتی را ارائه می‌دهند.»

تحقیقات گوگل TAG پس از آن انجام شد که محققان شرکت اطلاعاتی تهدید سیسکو تالو فاش کردند که گروه هکر لازاروس تحت حمایت دولت کره شمالی – که به نام APT38 نیز شناخته می شود – از آسیب پذیری Log4Shell برای هدف قرار دادن ارائه دهندگان انرژی در ایالات متحده، کانادا و ژاپن سوء استفاده می کند.