Một lỗ hổng zero-day trên Internet Explorer đã được một kẻ đe dọa ở Bắc Triều Tiên tích cực khai thác để nhắm mục tiêu đến người dùng Hàn Quốc bằng cách tận dụng đám đông Itaewon Halloween gần đây để lừa người dùng tải xuống phần mềm độc hại.
Theo báo cáo của các nhà nghiên cứu Benoît Sevens và Clément Lecigne, phát hiện này là tập hợp các cuộc tấn công mới nhất được thực hiện bởi ScarCruftcòn được gọi là APT37, InkySquid, Reaper và Ricochet Chollima.
“Nhóm này có lịch sử tập trung nhắm mục tiêu vào người dùng Hàn Quốc, người đào thoát khỏi Triều Tiên, nhà hoạch định chính sách, nhà báo và nhà hoạt động nhân quyền,” TAG cho biết trong một phân tích hôm thứ Năm.
Những phát hiện mới cho thấy tác nhân đe dọa tiếp tục lạm dụng các lỗ hổng Internet Explorer như CVE-2020-1380 và CVE-2021-26411 để loại bỏ các cửa hậu như BLUELIGHT và Dolphin, những cửa sau đã được tiết lộ bởi công ty an ninh mạng ESET của Slovakia vào cuối tháng trước.
Một công cụ quan trọng khác trong kho vũ khí của nó là RokRat, một trojan truy cập từ xa dựa trên Windows có nhiều chức năng cho phép nó chụp ảnh màn hình, ghi lại các lần gõ phím và thậm chí thu thập thông tin thiết bị Bluetooth.
Chuỗi tấn công mà Google TAG quan sát được đòi hỏi phải sử dụng một tài liệu Microsoft Word độc hại đã được tải lên VirusTotal vào ngày 31 tháng 10 năm 2022. Nó lạm dụng một lỗ hổng zero-day khác của Internet Explorer trong công cụ JavaScript JScript9, CVE-2022-41128, đó là đã được Microsoft vá vào tháng trước.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Tệp đề cập đến sự cố ngày 29 tháng 10 diễn ra ở khu phố Itaewon của Seoul và khai thác sự quan tâm của công chúng đối với thảm kịch để truy xuất lỗ hổng khai thác khi mở tệp. Cuộc tấn công được kích hoạt bởi thực tế là Office hiển thị nội dung HTML bằng Internet Explorer.
Như MalwareHunterĐội chỉ ra rằng cùng một tệp Word đã được Nhóm Shadow Chaser chia sẻ trước đó vào ngày 31 tháng 10 năm 2022, miêu tả nó như một “mẫu tiêm DOCX thú vị” có nguồn gốc từ Hàn Quốc.
Sau khi khai thác thành công, mã shell sẽ được cung cấp để xóa sạch mọi dấu vết bằng cách xóa bộ nhớ cache và lịch sử của Internet Explorer cũng như tải xuống giai đoạn tiếp theo.
Google TAG cho biết họ không thể khôi phục phần mềm độc hại tiếp theo được sử dụng trong chiến dịch, mặc dù nó bị nghi ngờ có liên quan đến việc triển khai RokRat, BLUELIGHT hoặc Dolphin.
Nhà phân tích phần mềm độc hại Filip Jurčacko của ESET nói với The Hacker News: “Không có gì đáng ngạc nhiên khi chúng tiếp tục nhắm mục tiêu đến người dùng Hàn Quốc. “Chúng tôi đã không thấy ScarCruft sử dụng khai thác zero-day trong một thời gian. Trước đây, họ đã tái sử dụng các PoC công khai của khai thác n-day.”
“Với mức độ hiếm/khan hiếm của các khai thác zero-day, chúng tôi hy vọng ScarCruft sẽ sử dụng nó kết hợp với một số cửa hậu tinh vi hơn của họ như Dolphin. Ngoài ra, chủ đề văn phòng của [command-and-control] tên miền phù hợp với các chiến dịch trước đó.”
