Em outubro deste ano, o Threat Analysis Group (TAG) do Google descobriu que hackers norte-coreanos estavam explorando uma vulnerabilidade de dia zero no Internet Explorer. Uma vulnerabilidade de dia zero é uma falha de segurança anteriormente desconhecida que os hackers podem explorar para obter acesso a um computador ou rede.
Os pesquisadores do Google descobriram a falha de dia zero em 31 de outubro, quando vários indivíduos carregaram um documento malicioso do Microsoft Office na ferramenta VirusTotal da empresa. Esses documentos pareciam relatórios do governo que faziam referência à recente tragédia do esmagamento da multidão em Itaewon em Seul.
O grupo de hackers norte-coreano APT37 realizou o ataque
O grupo de análise técnica da TAG explicou que o grupo de hackers APT37 realizou os ataques usando e-mails de spearphishing projetados para induzir o destinatário a clicar em um link ou anexo contendo malware.
Os documentos maliciosos do Microsoft Office, intitulados “221031 Situação de resposta a acidentes em Seul Yongsan Itaewon (06:00).docx”, aproveitaram o interesse público na tragédia ocorrida em Itaewon em 29 de outubro, na qual 151 pessoas perderam a vida em um esmagamento da multidão durante as festividades de Halloween.
Os pesquisadores de segurança da TAG descobriram que os hackers norte-coreanos exploraram uma vulnerabilidade de dia zero no mecanismo de script do Internet Explorer. Rastreado como CVE-2022-41128 com uma classificação de gravidade CVSS de 8,8. Depois que a vítima abria os documentos maliciosos, ela entregava uma carga desconhecida depois de baixar um modelo remoto de arquivo rich text (RTF) que renderizava HTML remoto usando o Internet Explorer. Como o Office ainda usa o mecanismo do Internet Explorer para executar o JavaScript, isso permitiu o ataque.
Felizmente, o Google descobriu a vulnerabilidade e a relatou à Microsoft. A Microsoft então lançou um patch para corrigir a falha, o que deve proteger os usuários de ataques futuros.
“Embora não tenhamos recuperado uma carga útil final para esta campanha, observamos anteriormente o mesmo grupo entregando uma variedade de implantes como ROKRAT, BLUELIGHT e DOLPHIN”, disseram Lecigne e Stevens. “Os implantes APT37 normalmente abusam de serviços de nuvem legítimos como um canal C2 e oferecem recursos típicos da maioria dos backdoors.”
Não está claro quantos indivíduos e organizações foram afetados pelo ataque norte-coreano ou que tipo de informação pode ter sido roubada. No entanto, esse incidente serve como um lembrete da ameaça contínua representada por hackers patrocinados pelo estado e da importância de manter o software atualizado e usar medidas de segurança para se proteger contra esses ataques.