Cybersicherheitsforscher der Threat Analysis Group (TAG) von Google haben eine Zero-Day-Schwachstelle im Internet Explorer (IE)-Browser entdeckt (wird in einem neuen Tab geöffnet), die von einem bekannten nordkoreanischen Hacker ausgenutzt wird.
In einem Blogbeitrag (wird in einem neuen Tab geöffnet), in dem ihre Ergebnisse detailliert beschrieben werden, sagte die Gruppe, sie habe gesehen, wie die Gruppe APT37 (auch bekannt als Erebus) Menschen in Südkorea mit einer bewaffneten Microsoft Word-Datei ins Visier genommen habe.
Die Datei trägt den Titel „221031 Seoul Yongsan Itaewon Unfallreaktionssituation (06:00).docx“ und bezieht sich auf die jüngste Tragödie, die sich während der diesjährigen Halloween-Feier in Itaewon, Seoul, ereignete und bei der mindestens 158 Menschen ihr Leben verloren. , mit weiteren 200 Verletzten. Die Angreifer wollten offenbar die öffentliche und mediale Aufmerksamkeit für den Vorfall ausnutzen.
Alte Fehler missbrauchen
Nach der Analyse des gelieferten Dokuments stellte TAG fest, dass es eine RTF-Vorlage (Remote Rich Text File) auf den Zielendpunkt heruntergeladen hatte, der dann den Remote-HTML-Inhalt abgerufen hatte. Microsoft hat Internet Explorer möglicherweise eingestellt und durch Edge ersetzt, aber Office rendert HTML-Inhalte immer noch mit IE, was eine bekannte Tatsache ist, die Bedrohungsakteure seit mindestens 2017 missbrauchen, ein erklärtes TAG.
Jetzt, da Office HTML-Inhalte mit IE rendert, können Angreifer den Zero-Day missbrauchen, den sie in der JScript-Engine von IE entdeckt haben.
Das Team fand den Fehler in „jscript9.dll“, der JavaScript-Engine des Internet Explorers, die es Hackern ermöglichte, beliebigen Code auszuführen und gleichzeitig eine Website unter ihrer Kontrolle darzustellen.
Microsoft wurde am 31. Oktober 2022 benachrichtigt, drei Tage später wurde der Fehler mit CVE-2022-41128 gekennzeichnet, und am 8. November wurde ein Patch veröffentlicht.
Während der Prozess bisher nur das Gerät kompromittiert, hat TAG nicht herausgefunden, zu welchem Zweck. Er habe die endgültige Nutzlast von APT37 für diese Kampagne nicht gefunden, sagte er, fügte aber hinzu, dass die Gruppe in der Vergangenheit beobachtet worden sei, Malware wie Rokrat, Bluelight oder Dolphin auszuliefern. .
Via: The Verge (Wird in einem neuen Tab geöffnet)