APT37 difunde malware en Corea del Sur utilizando el día cero de Internet Explorer
El Grupo de Análisis de Amenazas de Google descubrió que APT37, también conocido como Scarcruft o Reaper, un grupo de piratas informáticos vinculado a Corea del Norte, explota una vulnerabilidad de día cero en el motor JScript de Internet Explorer mediante la entrega de documentos maliciosos de Microsoft Office (TAG). Aprovecha la vulnerabilidad para infectar con malware a desertores surcoreanos, periodistas y organizaciones de derechos humanos.
Después de que muchas personas enviaran los documentos maliciosos de Office a VirusTotal, los investigadores del Grupo de Análisis de Amenazas de Google descubrieron la vulnerabilidad (CVE-2022-41128) con una calificación de gravedad CVSS de 8,8 el 31 de octubre. Los investigadores de TAG descubrieron que los documentos instalan otro archivo, que luego se encuentra con un servidor remoto para descargar código HTML. Los documentos maliciosos inducían a las víctimas a abrirlos haciendo referencia al incidente de Halloween en Seúl.
"El 31 de octubre de 2022, varios remitentes de Corea del Sur nos informaron de un nuevo malware subiendo un documento de Microsoft Office a VirusTotal. El documento, titulado "221031 Seoul Yongsan Itaewon accident response situation (06:00).docx", hace referencia al trágico incidente ocurrido en el barrio de Itaewon, en Seúl, Corea del Sur, durante las celebraciones de Halloween el 29 de octubre de 2022. Se informó ampliamente sobre este incidente, y el señuelo aprovecha el interés generalizado del público por el accidente", afirma el equipo TAG de Google.
La marca de la web se aplicaría al primer documento. Esto significa que el usuario debe desactivar la vista protegida antes de obtener una plantilla RTF remota. Cuando el servidor web entrega el RTF remoto, contiene una cookie distinta en la respuesta, que se vuelve a enviar cuando se solicita el contenido HTML remoto. Lo más probable es que esto detecte la obtención directa de código de exploits HTML que no forman parte de una infección genuina. Antes de iniciar el exploit, el exploit JavaScript valida que se ha establecido la cookie. Además, envía dos informes al servidor C2, uno antes y otro después de iniciar el exploit.
Después de descargar una plantilla remota RTF que renderizaría HTML remoto utilizando Internet Explorer, el nuevo documento presenta entonces una carga útil desconocida. Dado que se carga contenido HTML, los atacantes pueden explotar la vulnerabilidad de día cero (CVE-2022-41128) en Internet Explorer aunque no sea el navegador web predeterminado. Los expertos no están seguros de la carga útil final de esta campaña, pero creen que podría ser ROKRAT, BLUELIGHT o DOLPHIN, que el grupo distribuyó anteriormente.
Las fuentes de este artículo incluyen un artículo en DarkReading.