Cybersäkerhetsforskare från Googles Threat Analysis Group (TAG) har upptäckt en nolldagssårbarhet i webbläsaren Internet Explorer (IE) (öppnas i en ny flik) som utnyttjas av en känd nordkoreansk hackare.
I ett blogginlägg (öppnas i en ny flik) som beskriver sina resultat, sa gruppen att de såg gruppen APT37 (även känd som Erebus) som riktade in sig på människor i Sydkorea med en beväpnad Microsoft Word-fil.
Filen har titeln "221031 Seoul Yongsan Itaewon accident response situation (06:00).docx", vilket hänvisar till den senaste tragedin som ägde rum i Itaewon, Seoul under årets Halloween-firande, där minst 158 människor miste livet. , med ytterligare 200 skadade. Angriparna ville uppenbarligen dra fördel av allmänhetens och medias uppmärksamhet kring händelsen.
Missbruka gamla brister
Efter att ha analyserat det levererade dokumentet upptäckte TAG att den laddade ner en fjärrstyrd textfil (RTF)-mall till målslutpunkten, som sedan hämtade fjärr-HTML-innehållet. Microsoft kan ha pensionerat Internet Explorer och ersatt det med Edge, men Office återger fortfarande HTML-innehåll med IE, vilket är ett känt faktum som hotaktörer har missbrukat sedan åtminstone 2017, en deklarerad TAG.
Nu när Office renderar HTML-innehåll med IE kan angripare missbruka nolldagen som de upptäckte i IE:s JScript-motor.
Teamet hittade felet i "jscript9.dll", Internet Explorers JavaScript-motor, som gjorde det möjligt för hackare att exekvera godtycklig kod samtidigt som de renderade en webbplats under deras kontroll.
Microsoft meddelades den 31 oktober 2022 med felet taggat CVE-2022-41128 tre dagar senare, och en patch släpptes den 8 november.
Även om processen hittills bara kompromissar enheten, har TAG inte kommit fram till vilket syfte. Han hittade inte den slutliga APT37-nyttolasten för den här kampanjen, sa han, men tillade att gruppen tidigare hade observerats leverera skadlig programvara som Rokrat, Bluelight eller Dolphin. .
Via: The Verge (öppnas i en ny flik)