Злоумышленники пытались атаковать южнокорейских пользователей с помощью “правительственных отчетов” о давке в Сеуле.
Северокорейская группировка APT37 (также известная как ScarCruft, Reaper и Group123) активно использовала 0-day уязвимость под идентификатором CVE-2022-41128 в браузере Internet Explorer.против южнокорейских пользователей. Об этом сообщили исследователи из Google Threat Analysis Group (TAG), которые обнаружили эту брешь в защите в конце октября, после того как несколько пользователей загрузили вредоносные документы Microsoft Office на VirusTotal.
Злоумышленники выдавали эти документы за правительственные отчеты, связанные с трагедией в районе Итхэвон, Сеул. Там во время празднования Хэллоуина произошла давка, в результате чего по меньшей мере 158 человек погибли, а 196 получили ранения.
Атака проходила по следующему сценарию:
- Жертва открыла файл, который загружал шаблон RTF с удаленного сервера;
- Этот шаблон принимал удаленный HTML-контент;
- Загрузка HTML-контента с эксплойтом позволяла использовать уязвимость нулевого дня в Internet Explorer, даже если он не был браузером по умолчанию.
0-day получила идентификатор CVE-2022-41128 и оценку 8.8 из 10 по шкале CVSS. Как говорят специалисты, эта уязвимость связана с движком JavaScript в Internet Explorer и позволяет злоумышленникам выполнять произвольный код в ходе рендеринга вредоносного сайта. К счастью, исследователи TAG быстро сообщили о ней Microsoft и спустя пять дней после присвоения идентификатора CVE она была устранена.
Однако есть и плохие новости – исследователи не смогли восстановить и проанализировать конечную полезную нагрузку. Остается гадать, что использовали злоумышленники на этот раз: ROKRAT, BLUELIGHT или DOLPHIN.