APT37 a diffusé un malware en Corée du Sud en utilisant le zero-day d'Internet Explorer.
Le Threat Analysis Group de Google a découvert que APT37, également connu sous le nom de Scarcruft ou Reaper, un groupe de pirates lié à la Corée du Nord, exploite une vulnérabilité de type "zero-day" dans le moteur JScript d'Internet Explorer en diffusant des documents Microsoft Office (TAG) malveillants. Il exploite cette vulnérabilité pour infecter des transfuges sud-coréens, des journalistes et des organisations de défense des droits de l'homme avec des logiciels malveillants.
Après que de nombreuses personnes ont soumis les documents Office malveillants à VirusTotal, des chercheurs du Threat Analysis Group de Google ont découvert la vulnérabilité (CVE-2022-41128) avec un indice de gravité CVSS de 8,8 le 31 octobre. Les chercheurs de TAG ont découvert que les documents installent un autre fichier, qui rencontre ensuite un serveur distant pour télécharger du code HTML. Les documents malveillants incitent les victimes à les ouvrir en faisant référence à l'incident d'Halloween à Séoul.
"Le 31 octobre 2022, plusieurs auteurs de Corée du Sud nous ont signalé un nouveau malware en téléchargeant un document Microsoft Office sur VirusTotal. Le document, intitulé "221031 Seoul Yongsan Itaewon accident response situation (06:00).docx", fait référence à l'incident tragique survenu dans le quartier d'Itaewon, à Séoul, en Corée du Sud, lors des festivités d'Halloween le 29 octobre 2022. Cet incident a fait l'objet de nombreux reportages et le leurre tire parti de l'intérêt général du public pour cet accident", a déclaré l'équipe TAG de Google.
La marque du web serait appliquée au premier document. Cela signifie que l'utilisateur doit désactiver la vue protégée avant d'aller chercher un modèle RTF distant. Lorsque le serveur web délivre le RTF distant, il contient un cookie distinct dans la réponse, qui est envoyé à nouveau lorsque le contenu HTML distant est demandé. Il s'agit très probablement de détecter les récupérations directes de code d'exploitation HTML qui ne font pas partie d'une véritable infection. Avant de lancer l'exploitation, le JavaScript d'exploitation valide que le cookie a été défini. En outre, il envoie deux rapports au serveur C2, l'un avant et l'autre après le lancement de l'exploit.
Après avoir téléchargé un modèle RTF distant qui rendrait du HTML distant en utilisant Internet Explorer, le nouveau document présente ensuite une charge utile inconnue. Comme le contenu HTML est chargé, les attaquants peuvent exploiter la vulnérabilité de type "zero-day" (CVE-2022-41128) dans Internet Explorer, même s'il ne s'agit pas du navigateur Web par défaut. Les experts ne sont pas sûrs de la charge utile finale de cette campagne, mais ils pensent qu'il pourrait s'agir de ROKRAT, BLUELIGHT ou DOLPHIN, que le groupe a précédemment distribué.
Les sources de cette pièce incluent un article dans DarkReading.