APT37은 인터넷 익스플로러 제로데이를 사용하여 악성코드를 한국에 유포했습니다.
구글 위협 분석 그룹은 북한과 연계된 해킹 그룹인 스카크루프트 또는 리퍼라고도 알려진 APT37이 인터넷 익스플로러의 J스크립트 엔진의 제로데이 취약점을 악용하여 악성 마이크로소프트 오피스 문서(TAG)를 전송하는 것을 발견했습니다. 이 취약점을 악용하여 한국의 탈북자, 언론인, 인권 단체를 멀웨어에 감염시켰습니다.
많은 사람들이 악성 Office 문서를 VirusTotal에 제출한 후, Google 위협 분석 그룹의 연구원들이 10월 31일에 CVSS 심각도 등급이 8.8인 취약점(CVE-2022-41128)을 발견했습니다. 태그 연구원들은 이 문서가 다른 파일을 설치한 다음 원격 서버와 만나 일부 HTML 코드를 다운로드하는 것을 발견했습니다. 이 악성 문서는 서울에서 발생한 할로윈 사건을 언급하며 피해자가 파일을 열도록 유도합니다.
"2022년 10월 31일, 한국의 여러 제보자가 VirusTotal에 Microsoft Office 문서를 업로드하여 새로운 악성코드를 신고했습니다. "221031 서울 용산 이태원 사고 대응 상황(06:00).docx"라는 제목의 이 문서는 2022년 10월 29일 할로윈 축제 기간에 대한민국 서울 이태원 인근에서 발생한 비극적인 사건을 언급하고 있습니다. 이 사건은 널리 보도된 사건으로, 사고에 대한 대중의 관심이 높다는 점을 이용한 미끼입니다."라고 구글 태그 팀은 설명했습니다.
웹 마크는 첫 번째 문서에 적용됩니다. 즉, 사용자는 원격 RTF 템플릿을 가져오기 전에 보호된 보기를 비활성화해야 합니다. 웹 서버가 원격 RTF를 전송할 때 응답에 고유한 쿠키가 포함되며, 이 쿠키는 원격 HTML 콘텐츠가 요청될 때 다시 전송됩니다. 이는 실제 감염의 일부가 아닌 직접적인 HTML 익스플로잇 코드 페치를 탐지할 가능성이 높습니다. 익스플로잇을 시작하기 전에 익스플로잇 자바스크립트는 쿠키가 설정되었는지 확인합니다. 또한 익스플로잇이 실행되기 전과 실행된 후에 각각 두 개의 보고서를 C2 서버로 전송합니다.
인터넷 익스플로러를 사용하여 원격 HTML을 렌더링하는 RTF 원격 템플릿을 다운로드한 후, 새 문서에 알 수 없는 페이로드가 표시됩니다. HTML 콘텐츠가 로드되기 때문에 공격자는 기본 웹 브라우저가 아니더라도 Internet Explorer의 제로데이 취약점(CVE-2022-41128)을 익스플로잇할 수 있습니다. 전문가들은 이 캠페인의 최종 페이로드가 무엇인지 확실하지 않지만, 이 그룹이 이전에 배포한 ROKRAT, BLUELIGHT 또는 DOLPHIN일 가능성이 있다고 보고 있습니다.
이 글의 출처는 DarkReading의 기사입니다.