Un actor de amenazas de Corea del Norte explotó activamente una vulnerabilidad de día cero de Internet Explorer para atacar a los usuarios de Corea del Sur aprovechando la reciente Aplastamiento de la multitud de Halloween de Itaewon engañar a los usuarios para que descarguen malware.
El descubrimiento, informado por los investigadores del Grupo de Análisis de Amenazas de Google, Benoît Sevens y Clément Lecigne, es el último conjunto de ataques perpetrados por ScarCruftque también se llama APT37, InkySquid, Reaper y Ricochet Chollima.
“Históricamente, el grupo ha centrado su atención en usuarios de Corea del Sur, desertores de Corea del Norte, legisladores, periodistas y activistas de derechos humanos”, TAG dijo en un análisis del jueves.
Los nuevos hallazgos ilustran el abuso continuo por parte del actor de amenazas de las fallas de Internet Explorer, como CVE-2020-1380 y CVE-2021-26411, para lanzar puertas traseras como BLUELIGHT y Dolphin, la última de las cuales fue revelada por la firma de ciberseguridad eslovaca ESET a fines del mes pasado.
Otra herramienta clave en su arsenal es RokRat, un troyano de acceso remoto basado en Windows que viene con una amplia gama de funciones que le permiten capturar capturas de pantalla, registrar pulsaciones de teclas e incluso recolectar información de dispositivos Bluetooth.
La cadena de ataque observada por Google TAG implica el uso de un documento malicioso de Microsoft Word que fue subido a VirusTotal el 31 de octubre de 2022. Abusa de otra falla de día cero de Internet Explorer en el motor JavaScript JScript9, CVE-2022-41128, que Microsoft parchó el mes pasado.
El archivo hace referencia al incidente del 29 de octubre que tuvo lugar en el barrio de Itaewon de Seúl y explota el interés público en la tragedia para recuperar un exploit de la vulnerabilidad al abrirlo. El ataque está habilitado por el hecho de que Office presenta contenido HTML usando Internet Explorer.
La explotación exitosa es seguida por la entrega de un shellcode que borra todos los rastros al borrar el caché y el historial de Internet Explorer, así como al descargar la carga útil de la siguiente etapa.
Google TAG dijo que no pudo recuperar el malware de seguimiento utilizado en la campaña, aunque se sospecha que involucró el despliegue de RokRat, BLUELIGHT o Dolphin.