Tin tặc nhà nước vẫn khai thác Internet Explorer zero-day

Hôm nay, Nhóm phân tích mối đe dọa (TAG) của Google đã tiết lộ rằng một nhóm tin tặc Triều Tiên được theo dõi là APT37 đã khai thác lỗ hổng Internet Explorer chưa từng được biết đến trước đây (được gọi là zero-day) để lây nhiễm phần mềm độc hại cho các mục tiêu Hàn Quốc.

Google TAG đã biết về cuộc tấn công gần đây này vào ngày 31 tháng 10 khi nhiều người gửi VirusTotal từ Hàn Quốc tải lên một tài liệu Microsoft Office độc ​​hại có tên “221031 Seoul Yongsan Itaewon, tình huống ứng phó với tai nạn (06:00).docx.”

Sau khi được mở trên thiết bị của nạn nhân, tài liệu sẽ cung cấp một tải trọng không xác định sau khi tải xuống mẫu từ xa tệp văn bản có định dạng (RTF) sẽ hiển thị HTML từ xa bằng Internet Explorer.

Tải nội dung HTML đã phân phối khai thác từ xa cho phép kẻ tấn công khai thác IE zero-day ngay cả khi các mục tiêu không sử dụng nó làm trình duyệt web mặc định của họ.

Lỗ hổng (được theo dõi là CVE-2022-41128) là do một điểm yếu trong công cụ JavaScript của Internet Explorer, cho phép những kẻ đe dọa khai thác thành công nó để thực thi mã tùy ý khi hiển thị một trang web được tạo độc hại.

Microsoft đã vá lỗi này trong Bản vá Thứ Ba của tháng trước, vào ngày 8 tháng 11, năm ngày sau khi gán cho nó ID CVE sau một báo cáo từ TAG nhận được vào ngày 31 tháng 10.

Không có thông tin về phần mềm độc hại được đẩy đến thiết bị của nạn nhân

Mặc dù Google TAG không thể phân tích tải trọng độc hại cuối cùng do tin tặc Triều Tiên phân phối trên máy tính của các mục tiêu Hàn Quốc, nhưng các tác nhân đe dọa được biết đến với việc triển khai nhiều loại phần mềm độc hại trong các cuộc tấn công của chúng.

“Mặc dù chúng tôi không khôi phục được tải trọng cuối cùng cho chiến dịch này, nhưng trước đây chúng tôi đã quan sát thấy cùng một nhóm cung cấp nhiều loại mô cấy như ROKRAT, BLUELIGHT và DOLPHIN,” Clement Lecigne và Benoit Stevens của Google TAG cho biết.

“Bộ cấy APT37 thường lạm dụng các dịch vụ đám mây hợp pháp dưới dạng kênh C2 và cung cấp các khả năng điển hình của hầu hết các cửa hậu.”

APT37 đã hoạt động trong khoảng một thập kỷ, ít nhất là kể từ năm 2012 và trước đó được FireEye tin tưởng cao có liên quan đến chính phủ Bắc Triều Tiên.

Nhóm đe dọa này được biết đến với việc tập trung tấn công vào các cá nhân mà chế độ Bắc Triều Tiên quan tâm, bao gồm những người bất đồng chính kiến, nhà ngoại giao, nhà báo, nhà hoạt động nhân quyền và nhân viên chính phủ.