Kuzey Kore devlet destekli bilgisayar korsanları, Güney Koreli kullanıcıları kötü amaçlı yazılımla hedef almak için Internet Explorer’da önceden bilinmeyen bir sıfır gün güvenlik açığından yararlandı. Google’ın Tehdit Analizi Grubuna göre.
Google araştırmacıları, sıfır gün kusurunu ilk olarak 31 Ekim’de birden çok kişinin şirketin VirusTotal aracına kötü amaçlı bir Microsoft Office belgesi yüklediğinde keşfettiğini keşfetti. Bu belgelerin, Seul’ün Itaewon semtindeki Cadılar Bayramı şenlikleri sırasında meydana gelen bir kalabalık olan Itaewon trajedisiyle ilgili hükümet raporları olduğu iddia ediliyor. En az 158 kişi öldü, 196 kişi de yaralandı.
Google TAG’den Clement Lecigne ve Benoit Stevens Çarşamba günü, “Bu olay hakkında geniş çapta haber yapıldı ve tuzak, halkın kazaya olan yaygın ilgisinden yararlanıyor” dedi.
Kötü amaçlı belgeler, Internet Explorer’ın 8,8 CVSS önem derecesi ile CVE-2022-41128 olarak izlenen Komut Dosyası motorundaki sıfır gün güvenlik açığından yararlanmak için tasarlandı. Belge açıldıktan sonra, Internet Explorer kullanılarak uzak HTML’yi işleyecek bir zengin metin dosyası (RTF) uzak şablonu indirildikten sonra bilinmeyen bir yük teslim ediyordu. Internet Explorer, Haziran ayında resmi olarak kullanımdan kaldırılmış ve yerini Microsoft Edge’e bırakmış olsa da, Office, saldırıyı etkinleştiren JavaScript’i yürütmek için IE motorunu kullanmaya devam ediyor.
Lecigne ve Stevens, “Bu teknik, 2017’den beri IE istismarlarını Office dosyaları aracılığıyla dağıtmak için yaygın olarak kullanılıyor” dedi. “Bu vektör yoluyla IE açıklarından yararlanmanın sağlanması, hedefin varsayılan tarayıcı olarak Internet Explorer’ı kullanmasını gerektirmeme avantajına sahiptir.”
Araştırmacılar, Google’ın güvenlik açığını 31 Ekim’de Microsoft’a bildirdiğini ve güvenlik açığının bir hafta sonra Microsoft’un Kasım 2022 Salı Yaması güvenlik güncellemelerinin bir parçası olarak düzeltildiğini ekledi.
Google’ın sahip olduğu atfedilen APT37 olarak bilinen ve en az 2012’den beri aktif olan ve daha önce Güney Koreli kullanıcıları, Kuzey Koreli sığınmacıları, politika yapıcıları, gazetecileri ve insan hakları aktivistlerini hedef almak için sıfır gün kusurlarından yararlandığı gözlemlenen Kuzey Kore destekli bir bilgisayar korsanlığı grubuna yönelik faaliyet. Siber güvenlik şirketi FireEye daha önce APT37 faaliyetinin Kuzey Kore hükümeti adına yürütüldüğünü “yüksek bir güvenle” değerlendirdiğini ve grubun birincil görevinin “Kuzey Kore’nin stratejik askeri, siyasi ve ekonomik çıkarlarını desteklemek için gizli istihbarat toplamak olduğunu” belirtmişti. ”
Google araştırmacıları, APT37 bilgisayar korsanlarının hedeflerine karşı dağıtmaya çalıştıkları kötü amaçlı yazılımı analiz etme şansı bulamasa da, grubun çok çeşitli kötü amaçlı yazılımlar kullanmasıyla tanındığını belirtiyorlar.
Lecigne ve Stevens, “Bu kampanya için son bir yükü kurtarmamış olsak da, aynı grubun daha önce ROKRAT, BLUELIGHT ve DOLPHIN gibi çeşitli implantlar teslim ettiğini gözlemledik,” dedi. “APT37 implantları tipik olarak meşru bulut hizmetlerini bir C2 kanalı olarak kötüye kullanır ve çoğu arka kapıya özgü yetenekler sunar.”
Google TAG’ın araştırması, tehdit istihbaratı şirketi Cisco Talos’taki araştırmacıların, Kuzey Kore devlet destekli Lazarus bilgisayar korsanlığı grubunun (APT38 olarak da bilinir) ABD, Kanada ve Japonya’daki enerji sağlayıcılarını hedeflemek için Log4Shell güvenlik açığından yararlandığını ortaya çıkarmasının ardından geldi.