Los piratas informáticos de Corea del Norte explotaron el día cero de Internet Explorer para propagar malware

Según el Grupo de análisis de amenazas de Google, los piratas informáticos patrocinados por el estado de Corea del Norte han explotado una vulnerabilidad de día cero previamente desconocida en Internet Explorer para atacar a los usuarios de Corea del Sur con malware.

Los investigadores de Google descubrieron por primera vez la falla de día cero el 31 de octubre cuando varias personas cargaron un documento malicioso de Microsoft Office en la herramienta VirusTotal de la empresa. Se creía que los documentos eran informes del gobierno relacionados con la tragedia de Itaewon, una aglomeración de multitudes que ocurrió durante las festividades de Halloween en el distrito de Itaewon de Seúl. Al menos 158 personas murieron y otras 196 resultaron heridas.

"Este incidente ha sido ampliamente informado y el señuelo se beneficia del interés público generalizado en el accidente", dijeron el miércoles Clément Lecigne y Benoit Stevens de Google TAG.

Los documentos maliciosos se diseñaron para explotar una vulnerabilidad de día cero en el motor de secuencias de comandos de Internet Explorer, identificado como CVE-2022-41128 con una clasificación de gravedad CVSS de 8,8. Cuando se abría, el documento proporcionaría una carga útil desconocida después de descargar una plantilla remota de archivo de texto enriquecido (RTF) que haría que el código HTML fuera remoto mediante Internet Explorer. Aunque Internet Explorer se retiró oficialmente en junio y se reemplazó por Microsoft Edge, Office todavía usa el motor de IE para ejecutar el JavaScript que permite el ataque.

“Esta técnica se ha utilizado ampliamente para distribuir exploits de IE a través de archivos de Office desde 2017”, dijeron Lecigne y Stevens. "La entrega de exploits de IE a través de este vector tiene la ventaja de no requerir que el objetivo use Internet Explorer como navegador predeterminado".

Los investigadores agregaron que Google informó la vulnerabilidad a Microsoft el 31 de octubre, antes de que se corrigiera una semana después como parte de las actualizaciones de seguridad de noviembre de 2022 de Microsoft.

Google atribuyó la actividad a un grupo de piratas informáticos respaldado por Corea del Norte conocido como APT37, que ha estado activo desde al menos 2012 y se ha observado anteriormente explotando vulnerabilidades cero al día para apuntar a usuarios de Corea del Sur, desertores de Corea del Norte, legisladores, periodistas y activistas de derechos humanos. La firma de seguridad cibernética FireEye dijo anteriormente que evaluó con "alta confianza" que la actividad APT37 se lleva a cabo en nombre del gobierno de Corea del Norte, y señaló que la misión principal del grupo "es la recopilación de inteligencia encubierta para apoyar los intereses militares, políticos y económicos estratégicos de Corea del Norte". ”

Si bien los investigadores de Google no han tenido la oportunidad de analizar el malware que los piratas informáticos APT37 intentaron implementar contra sus objetivos, sí notaron que se sabe que el grupo usa una amplia variedad de malware.

"Si bien no obtuvimos una carga útil final para esta campaña, ya hemos observado que el mismo grupo entregó una variedad de implantes como ROKRAT, BLUELIGHT y DOLPHIN", dijeron Lecigne y Stevens. "Los implantes APT37 suelen abusar de los servicios en la nube legítimos como un canal C2 y brindan la funcionalidad típica de la mayoría de las puertas traseras".

Las búsquedas de Google TAG se producen después de que los investigadores de la empresa de inteligencia de amenazas Cisco Talos revelaran que el grupo de piratas informáticos patrocinado por el estado norcoreano Lazarus, también conocido como APT38, explota la vulnerabilidad Log4Shell para atacar a los proveedores de energía en los Estados Unidos, Canadá y Japón.