'de Kuzey Kore'nin bir Internet Explorer sıfır gün güvenlik açığından yararlandığını keşfetti.
Internet Explorer web tarayıcısı, bu yılın başlarında Haziran ayında resmi olarak kullanımdan kaldırıldı ve o zamandan beri yerini Microsoft Edge aldı . Bununla birlikte, TAG'ın teknik analizinin açıkladığı gibi, Office saldırıyı etkinleştiren JavaScript'i yürütmek için IE motorunu kullanmaya devam ediyor, bu nedenle yeni Kasım 2022 güvenliği yüklememiş Windows 7'den 11'e ve Windows Server 2008'den 2022'ye kadar olan makinelerde çalıştı. güncellemeler.
TAG, "221031 Seoul Yongsan Itaewon kaza müdahale durumu (06:00).docx" başlıklı kötü niyetli Microsoft Office belgeleri 31 Ekim 2022'de VirusTotal'a yüklendiğinde güvenlik açığından haberdar oldu. 29 Ekim'de Itaewon'da Seul'de bir Cadılar Bayramı kutlaması sırasında kalabalığın ezilmesi sonucu 151 kişi hayatını kaybetti.
Saldırının, APT37 olarak bilinen Kuzey Kore hükümeti destekli bir grup aktörün işi olduğuna inanılıyor.
Belge, Internet Explorer'ın JavaScript motoru olan ve saldırgan tarafından kontrol edilen bir web sitesini işlerken kötü amaçlı yazılım veya kötü amaçlı kod dağıtmak için kullanılabilen "jscript9.dll" içinde bulunan bir Internet Explorer sıfır gün güvenlik açığından yararlandı. TAG saldırıyı, daha önce Kuzey Koreli sığınmacılara, politika belirleyicilere, gazetecilere, insan hakları aktivistlerine ve Güney Koreli IE kullanıcılarına yönelik hedefli saldırılarda benzer Internet Explorer sıfır gün açıklarından yararlanan APT37 olarak bilinen Kuzey Kore hükümeti destekli bir grup aktöre bağlıyor. Genel olarak.
TAG, blog gönderisinde "bu kampanya için son bir yükü kurtarmadığını" söylüyor, ancak daha önce APT37'nin Rokrat , Bluelight ve Dolphin gibi kötü amaçlı yazılımları dağıtmak için benzer açıkları kullandığını gözlemlediğini belirtiyor. Bu örnekte güvenlik açığı, 31 Ekim'de keşfedilmesinden sonraki saatler içinde Microsoft'a bildirildi ve 8 Kasım'da yamalandı.