Google Threat Analysis Group (TAG) advirtió que un grupo de hackers norcoreanos APT37 (también conocidos como InkySquid, Reaper y Ricochet Chollima), utilizaron una vulnerabilidad previamente desconocida en Internet Explorer para infectar objetivos surcoreanos con malware.
Los analistas de TAG se enteraron del ataque el 31 de octubre, cuando un documento malicioso de Microsoft Office llamado «221031 Seoul Yongsan Itaewon accident response situation (06:00).docx» fue descargado de Corea del Sur a VirusTotal. Es decir, los atacantes utilizaron como cebo la muerte de 151 personas en una estampida en el distrito central de Seúl. Permítanme recordarles que este incidente ocurrió el 29 de octubre, durante la celebración de Halloween, la primera desde el comienzo de la pandemia de coronavirus.
Una vez abierto en los dispositivos de las víctimas, este documento entregaba una carga útil desconocida (cargando una plantilla RTF remota que representaba el HTML remoto usando Internet Explorer). La descarga de contenido HTML remoto que entregó el exploit al sistema de la víctima permitió a los piratas informáticos usar 0-day en IE, incluso si los objetivos no lo usaban como navegador predeterminado.
Te puede interesar:
Cómo obtener una lista de módulos de PowerShell
Esta vulnerabilidad de día cero (CVE-2022-41128) está asociada con el motor de JavaScript en Internet Explorer y permite a los atacantes ejecutar código arbitrario durante la representación de un sitio malintencionado. Los desarrolladores de Microsoft corrigieron este error como parte del martes de actualizaciones de noviembre, solo cinco días después de asignar a la vulnerabilidad el identificador CVE e inmediatamente después de recibir el informe de los investigadores.
Aunque los expertos de Google TAG no pudieron analizar el anuncio final de esta campaña, señalan que los piratas informáticos norcoreanos utilizan una amplia gama de malware en sus ataques.
«Aunque no restauramos la carga útil final para esta campaña, hemos observado previamente a un grupo entregando varios implantes, incluidos ROKRAT, BLUELIGHT y DOLPHIN», escribieron los investigadores. «Los implantes APT37 generalmente usan servicios legítimos en la nube como C&C y tienen capacidades típicas de la mayoría de las puertas traseras».