谷歌威脅分析小組 (TAG) 透露,一群被追蹤為 APT37 的東北亞某國黑客利用以前未知的 Inte.NET Explorer 0day漏洞感染韓國目標。
10 月 31 日,當來自韓國的多個 VirusTotal 提交者上傳了一份名為“221031 seoul Yongsan Itaewon 事故響應情況 (06:00).docx”的惡意office文檔,google TAG意識到這次攻擊。
一旦在受害者的設備上打開,該文檔將在下載一個富文本文件 (RTF) 遠程模板后傳遞一個未知的負載,該模板將使用 Internet Explorer 呈現遠程 html。
遠程加載提供漏洞利用的 HTML 內容允許攻擊者利用 IE 零日漏洞,即使目標并未將其用作默認 Web 瀏覽器。
該漏洞(跟蹤為 CVE-2022-41128)是由于 Internet Explorer 的 JAVAScript 引擎中的一個漏洞,成功利用漏洞可以在訪問惡意網站時執行任意代碼。
微軟 在 11 月 8日補丁日對漏洞進行了修補。
被 APT37 黑客用作誘餌的惡意 Office 文檔(Google TAG)
Google TAG說:“雖然我們沒有發現這次活動的最終有效載荷,我們之前觀察到同一組織投遞的各種植入物,如 ROKRAT、BLUELIGHT 和 DOLPHIN。APT37 植入程序通常濫用合法的云服務作為 C2 通道,并提供大多數后門程序的典型功能。”
APT37已經活躍了大約十年,至少從 2012 年開始,并且之前被 FireEye 高度信任地與東北亞某國政府關聯。
