Luka 0-day w Internet Explorerze. Korzystają z niej hakerzy Korei Północnej

Zespół Google Threat Analysis Group (TAG) pod koniec października br. wykrył lukę 0-day w Internet Explorerze, która była używana przez grupę wspieraną przez Koreę Północną o nazwie APT37 do atakowania użytkowników z Korei Południowej.

Hakerzy rozsyłali do ofiar złośliwe dokumenty i za ich pomocą wykorzystywali podatność (CVE-2022-41128) przeglądarki w silniku JScript.

Wykorzystać tragedię

Pod koniec października wiele osób z Korei Południowej zgłosiło koncernowi incydent, przesyłając zainfekowany dokument Word, które otrzymały. Plik był zatytułowany „221031 Seoul Yongsan Itaewon – reagowanie na wypadek (06:00).docx”. Nazwa odnosi się do tragicznego wypadku w dzielnicy Itaewon w Seulu podczas obchodów Halloween 29 października.

Jak się okazuje, to nie był jedyny plik rozsyłany przez hakerów wspieranych przez Pjongjang. „Zespół Google TAG zidentyfikował również inne dokumenty, które prawdopodobnie wykorzystywały tę samą lukę” – czytamy w raporcie specjalistów.

Eksperci deklarują, że w ciągu kilku godzin od zidentyfikowania luki, o problemie powiadomiono dostawcę. W efekcie Microsoft 8 listopada wydał aktualizację z łatkami, które mają zwiększyć bezpieczeństwo użytkowników.

Od dekady

Eksperci Google wskazują, że to nie pierwszy raz, kiedy grupa APT37 wykorzystuje exploity 0-day w Internet Explorerze w ramach swoich kampanii.

Przypomnijmy, że APT37 działa od co najmniej 2012 r. a celem grupy są przede wszystkim podmioty i osoby, będące w kręgu zainteresowania północnokoreańskiego reżimu. Mowa o m.in. dziennikarzach, uciekinierach, obrońcach praw człowieka czy krytyków Pjongjangu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].