Nordkoreanische staatlich geförderte Hacker nutzten eine zuvor unbekannte Zero-Day-Schwachstelle im Internet Explorer aus, um südkoreanische Benutzer mit Malware anzugreifen. laut Googles Threat Analysis Group.
Google-Forscher entdeckten den Zero-Day-Fehler erstmals am 31. Oktober, als mehrere Personen ein bösartiges Microsoft Office-Dokument in das VirusTotal-Tool des Unternehmens hochluden. Bei diesen Dokumenten handelte es sich angeblich um Regierungsberichte im Zusammenhang mit der Itaewon-Tragödie, einem Menschenauflauf, der sich während der Halloween-Feierlichkeiten im Itaewon-Viertel von Seoul ereignete. Mindestens 158 Menschen wurden getötet und 196 weitere verletzt.
„Über diesen Vorfall wurde weithin berichtet, und die Verlockung nutzt das weit verbreitete öffentliche Interesse an dem Unfall aus“, sagten Clement Lecigne und Benoit Stevens von Google TAG am Mittwoch.
Die bösartigen Dokumente wurden entwickelt, um eine Zero-Day-Schwachstelle in der Skript-Engine von Internet Explorer auszunutzen, die als CVE-2022-41128 mit einem CVSS-Schweregrad von 8,8 verfolgt wird. Nach dem Öffnen lieferte das Dokument eine unbekannte Nutzlast nach dem Herunterladen einer RTF-Remote-Vorlage (Rich Text File), die Remote-HTML mit Internet Explorer rendern würde. Obwohl der Internet Explorer bereits im Juni offiziell zurückgezogen und durch Microsoft Edge ersetzt wurde, Office verwendet immer noch die IE-Engine, um das JavaScript auszuführen, das den Angriff ermöglicht.
„Diese Technik ist seit 2017 weit verbreitet, um IE-Exploits über Office-Dateien zu verbreiten“, sagten Lecigne und Stevens. „Das Bereitstellen von IE-Exploits über diesen Vektor hat den Vorteil, dass das Ziel nicht den Internet Explorer als Standardbrowser verwenden muss.“
Die Forscher fügten hinzu, dass Google die Schwachstelle am 31. Oktober an Microsoft gemeldet habe, bevor sie eine Woche später im Rahmen der Microsoft-Sicherheitsupdates vom November 2022 am Patchday behoben wurde.
Google hat zugeschrieben die Aktivität einer von Nordkorea unterstützten Hacking-Gruppe namens APT37, die seit mindestens 2012 aktiv ist und zuvor beobachtet wurde, wie sie Zero-Day-Fehler ausnutzt, um südkoreanische Benutzer, nordkoreanische Überläufer, politische Entscheidungsträger, Journalisten und Menschenrechtsaktivisten anzugreifen. Das Cybersicherheitsunternehmen FireEye sagte zuvor, es habe mit „hoher Zuversicht“ eingeschätzt, dass die Aktivitäten von APT37 im Auftrag der nordkoreanischen Regierung durchgeführt werden, und stellte fest, dass die Hauptaufgabe der Gruppe „das verdeckte Sammeln von Informationen zur Unterstützung der strategischen militärischen, politischen und wirtschaftlichen Interessen Nordkoreas ist. ”
Während Google-Forscher keine Gelegenheit hatten, die Malware zu analysieren, die APT37-Hacker versuchten, gegen ihre Ziele einzusetzen, stellen sie fest, dass die Gruppe dafür bekannt ist, eine Vielzahl von bösartiger Software zu verwenden.
„Obwohl wir für diese Kampagne keine endgültige Nutzlast gewonnen haben, haben wir zuvor beobachtet, dass dieselbe Gruppe eine Vielzahl von Implantaten wie ROKRAT, BLUELIGHT und DOLPHIN geliefert hat“, sagten Lecigne und Stevens. „APT37-Implantate missbrauchen typischerweise legitime Cloud-Dienste als C2-Kanal und bieten Funktionen, die für die meisten Hintertüren typisch sind.“
Die Recherche von Google TAG erfolgt, nachdem Forscher des Threat-Intelligence-Unternehmens Cisco Talos enthüllten, dass die nordkoreanische staatlich geförderte Hacking-Gruppe Lazarus – auch bekannt als APT38 – die Schwachstelle Log4Shell ausnutzt, um Energieversorger in den Vereinigten Staaten, Kanada und Japan anzugreifen.