Im Anschluss an die Itaewon-Halloween-Menge verknallt die mindestens 158 Menschen tötete, nutzte Nordkoreas staatlich geförderte Hacking-Gruppe APT37 eine zuvor unbekannte Schwachstelle im Internet Explorer aus, um Malware auf den Geräten von Südkoreanern zu installieren, die versuchten, etwas über die Tragödie herauszufinden. laut Googles Threat Analysis Group. Das Team wurde auf den jüngsten Angriff am 31. Oktober aufmerksam, nachdem mehrere Südkoreaner ein bösartiges Microsoft Office-Dokument in das VirusTotal-Tool des Unternehmens hochgeladen hatten.
APT37 nutzte das nationale Interesse an der Tragödie von Itaewon, indem es in einem offiziell aussehenden Dokument auf das Ereignis verwies. Sobald jemand das Dokument auf seinem Gerät geöffnet hatte, lud es eine Remote-Vorlage mit Rich-Text-Datei herunter, die wiederum Remote-HTML mit Internet Explorer renderte. Laut Google ist dies eine Technik, die seit 2017 weit verbreitet ist, um Exploits zu verbreiten, da sie es Hackern ermöglicht, Schwachstellen im Internet Explorer auszunutzen, selbst wenn jemand IE nicht als Standard-Webbrowser verwendet.
Die JavaScript-Schwachstelle APT37 nutzte die Gruppe aus, um beliebigen Code auszuführen. Google informierte Microsoft noch am selben Tag über den Zero-Day, an dem es davon Kenntnis erlangte. Am 8. November veröffentlichte Microsoft ein Software-Update, um den Exploit zu beheben. „Wir wären nachlässig, wenn wir die schnelle Reaktion und das Patchen dieser Schwachstelle durch das Microsoft-Team nicht anerkennen würden“, sagte Google.
Während das TAG-Team keine Gelegenheit hatte, die endgültige Malware zu analysieren, die APT37-Hacker versuchten, gegen ihre Ziele einzusetzen, stellt es fest, dass die Gruppe dafür bekannt ist, eine Vielzahl von bösartiger Software zu verwenden, darunter ROKRAT, BLUELIGHT und DOLPHIN. „TAG hat auch andere Dokumente identifiziert, die wahrscheinlich dieselbe Schwachstelle ausnutzen und ähnliche Ziele verfolgen, die möglicherweise Teil derselben Kampagne sind“, fügte das Team hinzu.
Dies ist nicht das erste Mal, dass die Threat Analysis Group von Google einen Angriff nordkoreanischer Hacker vereitelt hat. Anfang 2021 stellte das Team eine Kampagne vor, die sich an Sicherheitsforscher richtete. In jüngerer Zeit arbeitete das Team mit dem Chrome-Team zusammen, um eine Schwachstelle zu beheben, die von zwei nordkoreanischen Hacking-Kadern zur Ausführung von Remote-Code verwendet wurde.
Alle von Engadget empfohlenen Produkte werden von unserem Redaktionsteam unabhängig von unserer Muttergesellschaft ausgewählt. Einige unserer Geschichten enthalten Affiliate-Links. Wenn Sie etwas über einen dieser Links kaufen, erhalten wir möglicherweise eine Affiliate-Provision. Alle Preise sind zum Zeitpunkt der Veröffentlichung korrekt.