یک آسیبپذیری روز صفر اینترنت اکسپلورر بهطور فعال توسط یک عامل تهدید کره شمالی (ScarCruft) برای هدف قرار دادن کاربران کره جنوبی با استفاده از Itaewon Halloween crowd crush برای فریب دادن کاربران به دانلود یک دژافزار، مورد بهرهبرداری قرار گرفت[۱].
این کشف که توسط محققان گروه تحلیل تهدید گوگل، Benoit Sevens و Clément Lecigne گزارش شده است، آخرین مجموعه حملاتی است که توسط گروه ScarCruft انجام شده است که APT37، InkySquid، Reaper و Ricochet Chollima نیز نامیده میشوند.
TAG در تحلیلی در روز پنجشنبه ۸ دسامبر ۲۰۲۲ دراینباره گفت[۲]: «این گروه ازلحاظ تاریخی هدف خود را بر کاربران کره جنوبی، فراریان کره شمالی، سیاستگذاران، روزنامهنگاران و فعالان حقوق بشر متمرکز کرده است.»
یافتههای جدید، سوءاستفاده مداوم این عامل تهدید از نقصهای اینترنت اکسپلورر مانند CVE-2020-1380 و CVE-2021-26411 را برای حذف دربهای پشتی مانند BLUELIGHT و Dolphin نشان میدهد[۳] که مورد آخر توسط شرکت امنیت سایبری اسلواکی ESET در اواخر ماه گذشته فاش شد.
یکی دیگر از ابزارهای کلیدی موجود در زرادخانه آن RokRat است[۴]، یک تروجان دسترسی از راه دور مبتنی بر ویندوز که دارای طیف وسیعی از عملکردها است که به آن اجازه میدهد عکسهای صفحهنمایش را بگیرد، ضربههای کلید را ثبت کند و حتی اطلاعات دستگاه بلوتوث را جمعآوری کند.
زنجیره حمله مشاهده شده توسط Google TAG مستلزم استفاده از یک سند مخرب مایکروسافت Word است که در ۳۱ اکتبر ۲۰۲۲ در VirusTotal آپلود شد[۵]. این حمله از یک نقص روز صفر دیگر اینترنت اکسپلورر در موتور جاوا اسکریپت JScript9، CVE-2022-41128، سوءاستفاده میکند که ماه گذشته توسط مایکروسافت وصله شد[۶].
این پرونده به حادثه ۲۹ اکتبر که در محله Itaewon سئول روی داد و از منافع عمومی در این فاجعه برای بازیابی یک سوءاستفاده از آسیبپذیری پس از باز کردن آن استفاده میکند، اشاره دارد. این حمله با این واقعیت فعال میشود که آفیس محتوای HTML را با استفاده از اینترنت اکسپلورر رندر میکند.
همانطور که MalwareHunterTeam اشاره میکند[۷]، همان فایل Word قبلاً توسط گروه Shadow Chaser در ۳۱ اکتبر ۲۰۲۲ به اشتراک گذاشته شده بود و آن را بهعنوان یک “نمونه الگوی تزریق جالب DOCX” توصیف میکرد[۸] که منشأ آن کره است.
بهرهبرداری موفقیتآمیز با تحویل یک کد پوسته دنبال میشود که با پاک کردن حافظه پنهان و تاریخچه اینترنت اکسپلورر و همچنین دانلود مرحله بعدی، همه ردپاها را پاک میکند.
گوگل TAG اعلام کرد که نمیتواند دژافزار بعدی مورداستفاده در این کمپین را بازیابی کند، اگرچه گمان میرود که شامل استقرار RokRat، BLUELIGHT یا Dolphin باشد.
Filip Jurčacko، تحلیلگر بدافزار ESET به هکر نیوز دراینباره گفت: «تعجبی ندارد که آنها همچنان کاربران کره جنوبی را هدف قرار دهند. مدتی است که ScarCruft از اکسپلویتهای روز صفر استفاده نکرده است.
با توجه به نادر بودن بهرهبردارهای روز صفر، انتظار داریم ScarCruft از آن در ترکیب با برخی از درهای پشتی پیچیدهتر خود مانند Dolphin استفاده کند.
منابع
[۱] https://en.wikipedia.org/wiki/Seoul_Halloween_crowd_crush
[۲] https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37
[۳] https://thehackernews.com/2022/12/north-korea-hackers-using-new-dolphin.html
[۴] https://thehackernews.com/2021/01/alert-north-korean-hackers-targeting.html
[۵] https://www.virustotal.com/gui/file/926a947ea2b59d3e9a5a6875b4de2bd071b15260370f4da5e2a60ece3517a32f
[۶] https://thehackernews.com/2022/11/install-latest-windows-update-asap.html
[۷] https://twitter.com/malwrhunterteam/status/1600759995020124160
[۸] https://twitter.com/ShadowChasing1/status/1587035660992454656
[۹] https://thehackernews.com/2022/12/google-warns-of-internet-explorer-zero.html
ثبت ديدگاه