Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
APT37 verbreitet Malware in Südkorea mit Hilfe eines Internet Explorer Zero-Day
22. Dezember 2022. TuxCare PR Team
Die Threat Analysis Group von Google entdeckte APT37, auch bekannt als Scarcruft oder Reaper, eine mit Nordkorea verbundene Hackergruppe, die eine Zero-Day-Schwachstelle in der JScript-Engine des Internet Explorer ausnutzt, indem sie bösartige Microsoft Office-Dokumente (TAG) verschickt. Sie nutzt die Sicherheitslücke aus, um südkoreanische Überläufer, Journalisten und Menschenrechtsorganisationen mit Malware zu infizieren.
Nachdem viele Personen die bösartigen Office-Dokumente bei VirusTotal eingereicht hatten, entdeckten Forscher der Threat Analysis Group von Google am 31. Oktober die Sicherheitslücke (CVE-2022-41128) mit einem CVSS-Schweregrad von 8,8. Die TAG-Forscher entdeckten, dass die Dokumente eine weitere Datei installieren, die dann auf einen Remote-Server zugreift, um einen HTML-Code herunterzuladen. Die bösartigen Dokumente verleiteten die Opfer dazu, sie zu öffnen, indem sie sich auf den Halloween-Vorfall in Seoul bezogen.
"Am 31. Oktober 2022 meldeten uns mehrere Einsender aus Südkorea neue Malware, indem sie ein Microsoft Office-Dokument auf VirusTotal hochluden. Das Dokument mit dem Titel "221031 Seoul Yongsan Itaewon accident response situation (06:00).docx" bezieht sich auf den tragischen Vorfall in der Nachbarschaft von Itaewon in Seoul, Südkorea, während der Halloween-Feierlichkeiten am 29. Oktober 2022. Über diesen Vorfall wurde viel berichtet, und der Köder nutzt das weit verbreitete öffentliche Interesse an dem Unfall aus", so das TAG-Team von Google.
Das Mark-of-the-Web würde auf das erste Dokument angewendet. Dies bedeutet, dass der Benutzer die geschützte Ansicht deaktivieren muss, bevor er eine entfernte RTF-Vorlage abruft. Wenn der Webserver die entfernte RTF-Vorlage liefert, enthält er in der Antwort ein eindeutiges Cookie, das erneut gesendet wird, wenn der entfernte HTML-Inhalt angefordert wird. Damit werden höchstwahrscheinlich direkte HTML-Exploit-Code-Abrufe erkannt, die nicht Teil einer echten Infektion sind. Bevor das Exploit-JavaScript den Exploit einleitet, überprüft es, ob das Cookie gesetzt wurde. Außerdem sendet es zwei Berichte an den C2-Server, einen vor und einen nach dem Start des Exploits.
Nach dem Herunterladen einer RTF-Remote-Vorlage, die Remote-HTML mit Internet Explorer rendern würde, präsentiert das neue Dokument dann eine unbekannte Nutzlast. Da der HTML-Inhalt geladen wird, können Angreifer die Zero-Day-Schwachstelle (CVE-2022-41128) in Internet Explorer ausnutzen, auch wenn dieser nicht der Standard-Webbrowser ist. Experten sind sich über die endgültige Nutzlast für diese Kampagne nicht im Klaren, glauben aber, dass es sich um ROKRAT, BLUELIGHT oder DOLPHIN handeln könnte, die die Gruppe zuvor verbreitet hat.
Zu den Quellen für diesen Beitrag gehört ein Artikel in DarkReading.
