谷歌威胁分析小组 (TAG) 透露,一群被追踪为 APT37 的东北亚某国黑客利用以前未知的 Inte.NET Explorer 0day漏洞感染韩国目标。
10 月 31 日,当来自韩国的多个 ViRustotal 提交者上传了一份名为“221031 seoul Yongsan Itaewon 事故响应情况 (06:00).docx”的恶意office文档,google TAG意识到这次攻击。
一旦在受害者的设备上打开,该文档将在下载一个富文本文件 (RTF) 远程模板后传递一个未知的负载,该模板将使用 Internet Explorer 呈现远程 html。
远程加载提供漏洞利用的 HTML 内容允许攻击者利用 IE 零日漏洞,即使目标并未将其用作默认 Web 浏览器。
该漏洞(跟踪为 CVE-2022-41128)是由于 Internet Explorer 的 JAVAScript 引擎中的一个漏洞,成功利用漏洞可以在访问恶意网站时执行任意代码。
微软 在 11 月 8日补丁日对漏洞进行了修补。
被 APT37 黑客用作诱饵的恶意 Office 文档(Google TAG)
Google TAG说:“虽然我们没有发现这次活动的最终有效载荷,我们之前观察到同一组织投递的各种植入物,如 ROKRAT、BLUELIGHT 和 DOLPHIN。APT37 植入程序通常滥用合法的云服务作为 C2 通道,并提供大多数后门程序的典型功能。”
APT37已经活跃了大约十年,至少从 2012 年开始,并且之前被 FireEye 高度信任地与东北亚某国政府关联。