Severokorejští hackeři využili zranitelnost prohlížeče k útoku na Jihokorejce po halloweenské tragédii

Podle skupiny pro analýzu hrozeb společnosti Google využila severokorejská hackerská skupina APT37 v souvislosti s davovou tlačenicí na Halloween v Itaewonu, při níž zahynulo nejméně 158 lidí, dosud neznámou zranitelnost prohlížeče Internet Explorer a nainstalovala malware do zařízení Jihokorejců, kteří se snažili o tragédii dozvědět.

Jak uvádí web Cyber Kendra, tým se o nedávném útoku dozvěděl 31. října poté, co několik Jihokorejců nahrálo škodlivý dokument Microsoft Office do nástroje VirusTotal společnosti. APT37 využil národního zájmu o tragédii v Itaewonu tím, že na událost odkazoval v oficiálně vypadajícím dokumentu. Jakmile někdo dokument na svém zařízení otevřel, stáhl si vzdálenou šablonu rich textového souboru, která následně pomocí aplikace Internet Explorer vykreslila vzdálený HTML.

Podle společnosti Google se jedná o techniku, která se od roku 2017 hojně používá k šíření exploitů, protože umožňuje hackerům využít zranitelnosti v prohlížeči Internet Explorer, i když někdo nepoužívá IE jako výchozí webový prohlížeč.

Zranitelnost JavaScriptu, kterou hackerská skupina APT37 využila, umožnila skupině spustit libovolný kód. Společnost Google o zero-day informovala Microsoft ve stejný den, kdy se o něm dozvěděla. Dne 8. listopadu Microsoft vydal aktualizaci softwaru, která zneužití řešila. „Byli bychom lhostejní, kdybychom nevyzdvihli rychlou reakci a opravu této zranitelnosti týmem společnosti Microsoft,“ uvedla společnost Google.

Tým TAG sice neměl možnost analyzovat konečný malware, který se hackeři APT37 pokusili nasadit proti svým cílům, ale upozorňuje, že skupina je známá používáním široké škály škodlivého softwaru, včetně ROKRAT, BLUELIGHT a DOLPHIN. „TAG také identifikoval další dokumenty, které pravděpodobně zneužívají stejnou zranitelnost a mají podobné zacílení, a které mohou být součástí stejné kampaně,“ dodal tým.

Není to poprvé, co skupina pro analýzu hrozeb společnosti Google zmařila útok severokorejských hackerů. Na začátku roku 2021 tým podrobně popsal kampaň, jejímž cílem byli bezpečnostní výzkumníci. Nedávno tým spolupracoval s týmem Chrome na řešení zranitelnosti, kterou využili dva severokorejští hackeři ke spuštění vzdáleného kódu.

Zdroj: cyberkendra.com, redakce