北朝鮮政府が支援するハッカーが、これまで知られていなかった Internet Explorer のゼロデイ脆弱性を悪用して、韓国のユーザーをマルウェアで標的にしました。 Google の脅威分析グループによると。
Google の研究者は、10 月 31 日に複数の個人が悪意のある Microsoft Office ドキュメントを同社の VirusTotal ツールにアップロードしたときに、最初にゼロデイ脆弱性を発見したことを発見しました。 これらの文書は、ソウルの梨泰院地区で行われたハロウィーンの祝祭中に発生した群衆の衝突である梨泰院の悲劇に関連する政府の報告書であるとされていました。 少なくとも 158 人が死亡し、196 人が負傷した。
Google TAG の Clement Lecigne 氏と Benoit Stevens 氏は水曜日に、「この事件は広く報道されました。このルアーは、事故に対する広範な一般市民の関心を利用しています。
悪意のあるドキュメントは、Internet Explorer のスクリプト エンジンのゼロデイ脆弱性を悪用するように設計されており、CVSS 重大度 8.8 で CVE-2022-41128 として追跡されています。 ドキュメントが開かれると、Internet Explorer を使用してリモート HTML をレンダリングするリッチ テキスト ファイル (RTF) リモート テンプレートをダウンロードした後、未知のペイロードが送信されます。 Internet Explorer は 6 月に正式に廃止され、Microsoft Edge に置き換えられましたが、 Office は引き続き IE エンジンを使用して、攻撃を可能にする JavaScript を実行します。
「この手法は、2017 年以降、Office ファイルを介して IE エクスプロイトを配布するために広く使用されてきました」と Lecigne 氏と Stevens 氏は述べています。 「このベクトルを介して IE エクスプロイトを配信することには、ターゲットが Internet Explorer をデフォルトのブラウザーとして使用する必要がないという利点があります。」
研究者は、Google が 10 月 31 日に脆弱性を Microsoft に報告した後、1 週間後に Microsoft の 2022 年 11 月の月例セキュリティ更新プログラムの一部として修正されたと付け加えました。
Google は 帰属 APT37 は、少なくとも 2012 年から活動しており、ゼロデイ脆弱性を悪用して韓国のユーザー、北朝鮮の脱北者、政策立案者、ジャーナリスト、人権活動家を標的にする活動が以前から観察されていました。 サイバーセキュリティ企業の FireEye は以前、APT37 の活動が北朝鮮政府に代わって実行されていることを「高い信頼性」で評価していると述べ、このグループの主な任務は「北朝鮮の戦略的な軍事的、政治的、経済的利益を支援するための秘密の情報収集である」と述べました。 」
Google の研究者は、APT37 ハッカーがターゲットに対して展開しようとしたマルウェアを分析する機会を得られませんでしたが、このグループはさまざまな悪意のあるソフトウェアを使用することで知られていることを指摘しています。
「このキャンペーンの最終的なペイロードを回収することはできませんでしたが、同じグループがROKRAT、BLUELIGHT、DOLPHINなどのさまざまなインプラントを提供することを以前に観察しました」とLecigneとStevensは述べています. 「APT37 インプラントは通常、正当なクラウド サービスを C2 チャネルとして悪用し、ほとんどのバックドアに典型的な機能を提供します。」
Google TAG の調査は、脅威インテリジェンス企業 Cisco Talos の研究者が、北朝鮮政府が支援する Lazarus ハッキング グループ (APT38 としても知られる) が Log4Shell 脆弱性を悪用して、米国、カナダ、および日本のエネルギー プロバイダーを標的にしていることを明らかにした後に行われました。