Google威胁分析小组(TAG)的一篇新博文显示,2022年10月,朝鲜积极利用了一个Internet Explorer零日漏洞。这次攻击以韩国用户为目标,将恶意软件嵌入参考最近首尔梨泰院人群踩踏惨案的文件中。
Internet Explorer浏览器早在今年6月初就正式退役了,此后被微软Edge取代。然而,正如TAG的技术分析所解释的那样,Office仍在使用IE引擎来执行启用攻击的JavaScript,这就是为什么它在没有安装2022年11月新的安全更新的Windows 7至11和Windows Server 2008至2022机器上依然存在漏洞。
当题为"221031首尔龙山梨泰院事故应对情况(06:00).docx"的恶意微软Office文档于2022年10月31日被上传到VirusTotal时,TAG意识到来自IE的漏洞依然阴魂不散。这些文件利用了10月29日在梨泰院发生的悲剧的广泛宣传,在这场悲剧中,151人在首尔的万圣节庆祝活动中因人群踩踏而丧生。
TAG认为这次攻击是由朝鲜政府支持的一个名为APT37的组织所为,该组织以前曾在针对朝鲜叛逃者、政策制定者、记者、人权活动家和韩国IE用户的攻击中使用类似的IE零日漏洞。
该文件利用了在"jscript9.dll"(Internet Explorer的JavaScript引擎)中发现的Internet Explorer零日漏洞,在渲染攻击者控制的网站时,该漏洞可被用来传递恶意软件或恶意代码。
TAG在博文中说,它"没有获得这次攻击活动的最终载荷",但指出之前观察到APT37使用类似的漏洞来输送恶意软件,如Rokrat、Bluelight和Dolphin。在这种情况下,该漏洞在10月31日被发现后的几个小时内就被报告给了微软,并在11月8日被修补。