Os pesquisadores do Google descobriram pela primeira vez a falha de dia zero em 31 de outubro, quando vários indivíduos carregaram um documento malicioso do Microsoft Office na ferramenta VirusTotal da empresa. Esses documentos pretendiam ser relatórios do governo relacionados à tragédia de Itaewon, uma multidão que ocorreu durante as festividades de Halloween no bairro de Itaewon em Seul. Pelo menos 158 pessoas morreram e outras 196 ficaram feridas.
“Este incidente foi amplamente divulgado, e a isca tira proveito do amplo interesse público no acidente”, disseram Clement Lecigne e Benoit Stevens, do Google TAG, na quarta-feira.
Os documentos maliciosos foram projetados para explorar uma vulnerabilidade de dia zero no mecanismo de script do Internet Explorer, rastreado como CVE-2022-41128 com uma classificação de gravidade CVSS de 8,8. Depois de aberto, o documento forneceria uma carga útil desconhecida após o download de um modelo remoto de arquivo rich text (RTF) que renderizaria HTML remoto usando o Internet Explorer. Embora o Internet Explorer tenha sido oficialmente aposentado em junho e substituído pelo Microsoft Edge , o Office ainda usa o mecanismo do IE para executar o JavaScript que permite o ataque.
“Essa técnica tem sido amplamente usada para distribuir explorações do IE por meio de arquivos do Office desde 2017”, disseram Lecigne e Stevens. “Entregar explorações do IE por meio desse vetor tem a vantagem de não exigir que o alvo use o Internet Explorer como navegador padrão.”
Os pesquisadores acrescentaram que o Google relatou a vulnerabilidade à Microsoft em 31 de outubro, antes de ser corrigida uma semana depois, como parte das atualizações de segurança da Patch Tuesday de novembro de 2022 da Microsoft.
O Google atribuiu a atividade a um grupo de hackers apoiado pela Coreia do Norte conhecido como APT37, que está ativo desde pelo menos 2012 e foi observado anteriormente explorando falhas de dia zero para atingir usuários sul-coreanos, desertores norte-coreanos, formuladores de políticas, jornalistas e humanos. ativistas de direitos. A empresa de segurança cibernética FireEye disse anteriormente que avaliou com “alta confiança” que a atividade do APT37 é realizada em nome do governo norte-coreano, observando que a principal missão do grupo “é a coleta secreta de inteligência em apoio aos interesses estratégicos militares, políticos e econômicos da Coreia do Norte. ”
Fonte Leia mais: https://techcrunch.com/2022/12/08/north-korean-hackers-exploited-internet-explorer-zero-day-to-spread-malware/
