Selon le groupe d’analyse des menaces de Google, des pirates informatiques parrainés par l’État nord-coréen ont exploité une vulnérabilité zero-day jusque-là inconnue dans Internet Explorer pour cibler les utilisateurs sud-coréens avec des logiciels malveillants.
Les chercheurs de Google ont découvert pour la première fois la faille zero-day le 31 octobre lorsque plusieurs personnes ont téléchargé un document Microsoft Office malveillant sur l’outil VirusTotal de l’entreprise. Ces documents étaient censés être des rapports gouvernementaux liés à la tragédie d’Itaewon, un écrasement de foule qui s’est produit lors des festivités d’Halloween dans le quartier d’Itaewon à Séoul. Au moins 158 personnes ont été tuées et 196 autres ont été blessées.
« Cet incident a été largement rapporté, et le leurre profite de l’intérêt généralisé du public pour l’accident », ont déclaré mercredi Clément Lecigne et Benoit Stevens de Google TAG.
Les documents malveillants ont été conçus pour exploiter une vulnérabilité zero-day dans le moteur de script d’Internet Explorer, identifiée comme CVE-2022-41128 avec un indice de gravité CVSS de 8,8. Une fois ouvert, le document fournirait une charge utile inconnue après avoir téléchargé un modèle distant de fichier texte enrichi (RTF) qui rendrait le code HTML distant à l’aide d’Internet Explorer. Bien qu’Internet Explorer ait été officiellement retiré en juin et remplacé par Microsoft Edge, Office utilise toujours le moteur IE pour exécuter le JavaScript qui permet l’attaque.
« Cette technique a été largement utilisée pour distribuer des exploits IE via des fichiers Office depuis 2017 », ont déclaré Lecigne et Stevens. « Livrer des exploits IE via ce vecteur a l’avantage de ne pas obliger la cible à utiliser Internet Explorer comme navigateur par défaut. »
Les chercheurs ont ajouté que Google avait signalé la vulnérabilité à Microsoft le 31 octobre avant qu’elle ne soit corrigée une semaine plus tard dans le cadre des mises à jour de sécurité de novembre 2022 de Microsoft.
Google a attribué l’activité d’un groupe de piratage soutenu par la Corée du Nord connu sous le nom d’APT37, qui est actif depuis au moins 2012 et a déjà été observé en train d’exploiter des failles zero-day pour cibler des utilisateurs sud-coréens, des transfuges nord-coréens, des décideurs, des journalistes et des militants des droits de l’homme. La société de cybersécurité FireEye a précédemment déclaré qu’elle avait évalué avec une « haute confiance » que l’activité APT37 est menée au nom du gouvernement nord-coréen, notant que la mission principale du groupe « est la collecte secrète de renseignements à l’appui des intérêts militaires, politiques et économiques stratégiques de la Corée du Nord ». ”
Bien que les chercheurs de Google n’aient pas eu l’occasion d’analyser le malware que les pirates APT37 ont tenté de déployer contre leurs cibles, ils notent que le groupe est connu pour utiliser une grande variété de logiciels malveillants.
« Bien que nous n’ayons pas récupéré de charge utile finale pour cette campagne, nous avons déjà observé le même groupe livrer une variété d’implants comme ROKRAT, BLUELIGHT et DOLPHIN », ont déclaré Lecigne et Stevens. « Les implants APT37 abusent généralement des services cloud légitimes en tant que canal C2 et offrent des fonctionnalités typiques de la plupart des portes dérobées. »
La recherche de Google TAG intervient après que des chercheurs de la société de renseignement sur les menaces Cisco Talos ont révélé que le groupe de piratage Lazarus parrainé par l’État nord-coréen – également connu sous le nom d’APT38 – exploite la vulnérabilité Log4Shell pour cibler les fournisseurs d’énergie aux États-Unis, au Canada et au Japon.