Bir Internet Explorer sıfır gün güvenlik açığı, Kuzey Koreli bir tehdit aktörü tarafından son günlerdeki güvenlik açığından yararlanarak Güney Koreli kullanıcıları hedef almak için aktif olarak kullanıldı. Itaewon Cadılar Bayramı kalabalığı ezmek kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmak.
Google Tehdit Analizi Grubu araştırmacıları Benoît Sevens ve Clément Lecigne tarafından bildirilen keşif, Google tarafından gerçekleştirilen en son saldırı dizisidir. ScarCruftAPT37, InkySquid, Reaper ve Ricochet Chollima olarak da adlandırılır.
TAG, “Grup, tarihsel olarak hedeflerini Güney Koreli kullanıcılara, Kuzey Koreli sığınmacılara, politika yapıcılara, gazetecilere ve insan hakları aktivistlerine odakladı.” söz konusu Perşembe analizinde.
Yeni bulgular, tehdit aktörünün CVE-2020-1380 ve CVE-2021-26411 gibi Internet Explorer kusurlarını BLUELIGHT ve Dolphin gibi arka kapıları açmak için kötüye kullanmaya devam ettiğini gösteriyor.
Cephaneliğindeki bir diğer önemli araç, ekran görüntüleri yakalamasına, tuş vuruşlarını günlüğe kaydetmesine ve hatta Bluetooth cihaz bilgilerini toplamasına olanak tanıyan çok çeşitli işlevlerle birlikte gelen Windows tabanlı bir uzaktan erişim truva atı olan RokRat’tır.
Google TAG tarafından gözlemlenen saldırı zinciri, kötü amaçlı bir Microsoft Word belgesinin kullanılmasını gerektirir. VirusTotal’a yüklendi Geçen ay Microsoft tarafından yamalanan JScript9 JavaScript motorundaki başka bir Internet Explorer sıfır gün kusuru olan CVE-2022-41128’yi kötüye kullanıyor.
Dosya, Seul’ün Itaewon semtinde meydana gelen 29 Ekim olayına atıfta bulunuyor ve trajediye ilişkin kamu çıkarını istismar ederek güvenlik açığını açar açmaz geri getiriyor. Saldırı, Office’in HTML içeriğini Internet Explorer kullanarak işlemesi sayesinde etkinleştirilir.
Başarılı bir istismarın ardından, Internet Explorer önbelleğini ve geçmişini temizleyerek ve bir sonraki aşama yükünü indirerek tüm izleri silen bir kabuk kodunun teslimi gelir.
Google TAG, RokRat, BLUELIGHT veya Dolphin dağıtımını içerdiğinden şüphelenilse de, kampanyada kullanılan devam eden kötü amaçlı yazılımı kurtaramadığını söyledi.