Los piratas informáticos patrocinados por el estado de Corea del Norte explotaron una vulnerabilidad de día cero previamente desconocida en Internet Explorer para atacar a los usuarios de Corea del Sur con malware, según el Grupo de Análisis de Amenazas de Google. Los investigadores de Google descubrieron por primera vez la falla de día cero el 31 de octubre cuando varias personas cargaron un documento malicioso de Microsoft Office en la herramienta VirusTotal de la compañía. Estos documentos pretendían ser informes del gobierno relacionados con la tragedia de Itaewon, una aglomeración de multitudes que ocurrió durante las festividades de Halloween en el barrio de Itaewon de Seúl. Al menos 158 personas murieron y otras 196 resultaron heridas. “Se informó ampliamente sobre este incidente, y el señuelo se aprovecha del interés público generalizado en el accidente”, dijeron el miércoles Clement Lecigne y Benoit Stevens de Google TAG. Los documentos maliciosos fueron diseñados para explotar una vulnerabilidad de día cero en el motor Script de Internet Explorer, rastreado como CVE-2022-41128 con una clasificación de gravedad CVSS de 8.8. Una vez abierto, el documento entregaría una carga útil desconocida después de descargar una plantilla remota de archivo de texto enriquecido (RTF) que representaría HTML remoto utilizando Internet Explorer. Aunque Internet Explorer se retiró oficialmente en junio y se reemplazó por Microsoft Edge, Office todavía usa el motor IE para ejecutar el JavaScript que permite el ataque. “Esta técnica se ha utilizado ampliamente para distribuir exploits de IE a través de archivos de Office desde 2017”, dijeron Lecigne y Stevens. “Entregar exploits de IE a través de este vector tiene la ventaja de no requerir que el objetivo use Internet Explorer como su navegador predeterminado”. Los investigadores agregaron que Google informó la vulnerabilidad a Microsoft el 31 de octubre antes de que la repararan una semana después como parte de las actualizaciones de seguridad del martes de parches de noviembre de 2022 de Microsoft. Google ha atribuido la actividad a un grupo de piratería respaldado por Corea del Norte conocido como APT37, que ha estado activo desde al menos 2012 y se ha observado anteriormente explotando fallas de día cero para apuntar a usuarios de Corea del Sur, desertores de Corea del Norte, legisladores, periodistas y humanos. activistas de derechos La compañía de seguridad cibernética FireEye dijo anteriormente que evaluó con “alta confianza” que la actividad APT37 se lleva a cabo en nombre del gobierno de Corea del Norte, y señaló que la misión principal del grupo “es la recopilación de inteligencia encubierta en apoyo de los intereses militares, políticos y económicos estratégicos de Corea del Norte”. ” Si bien los investigadores de Google no tuvieron la oportunidad de analizar el malware que los piratas informáticos APT37 intentaron implementar contra sus objetivos, notaron que el grupo es conocido por usar una amplia variedad de software malicioso. “Aunque no recuperamos una carga útil final para esta campaña, anteriormente observamos que el mismo grupo entregó una variedad de implantes como ROKRAT, BLUELIGHT y DOLPHIN”, dijeron Lecigne y Stevens. “Los implantes APT37 suelen abusar de los servicios en la nube legítimos como un canal C2 y ofrecen capacidades típicas de la mayoría de las puertas traseras”. La investigación de Google TAG se produce después de que los investigadores de la compañía de inteligencia de amenazas Cisco Talos revelaran que el grupo de piratería Lazarus patrocinado por el estado de Corea del Norte, también conocido como APT38, está explotando la vulnerabilidad Log4Shell para apuntar a los proveedores de energía en los Estados Unidos, Canadá y Japón.