À la suite de l’écrasement de la foule d’Itaewon Halloween qui a tué au moins 158 personnes, le groupe de piratage APT37 parrainé par l’État de Corée du Nord a profité d’une vulnérabilité Internet Explorer jusque-là inconnue pour installer des logiciels malveillants sur les appareils des Sud-Coréens qui tentaient de se renseigner sur le tragédie, selon le groupe d’analyse des menaces de Google. L’équipe a pris connaissance de la récente attaque du 31 octobre après que plusieurs Sud-Coréens ont téléchargé un document Microsoft Office malveillant sur l’outil VirusTotal de l’entreprise.
APT37 a profité de l’intérêt national pour la tragédie d’Itaewon en faisant référence à l’événement dans un document d’apparence officielle. Une fois que quelqu’un ouvrait le document sur son appareil, il téléchargeait un modèle distant de fichier texte enrichi qui, à son tour, rendrait le code HTML distant à l’aide d’Internet Explorer. Selon Google, il s’agit d’une technique largement utilisée pour diffuser des exploits depuis 2017, car elle permet aux pirates de tirer parti des vulnérabilités d’Internet Explorer même si quelqu’un n’utilise pas IE comme navigateur Web par défaut.
La vulnérabilité JavaScript dont APT37 a profité a permis au groupe d’exécuter du code arbitraire. Google a informé Microsoft du jour zéro le jour même où il en a pris connaissance. Le 8 novembre, Microsoft a publié une mise à jour logicielle pour corriger l’exploit. « Nous serions négligents si nous ne reconnaissions pas la réponse rapide et la correction de cette vulnérabilité par l’équipe Microsoft », a déclaré Google.
Bien que l’équipe TAG n’ait pas eu l’occasion d’analyser le malware final que les pirates APT37 ont tenté de déployer contre leurs cibles, elle note que le groupe est connu pour utiliser une grande variété de logiciels malveillants, notamment ROKRAT, BLUELIGHT et DOLPHIN. « TAG a également identifié d’autres documents exploitant probablement la même vulnérabilité et avec un ciblage similaire, qui peuvent faire partie de la même campagne », a ajouté l’équipe.
Ce n’est pas la première fois que le groupe d’analyse des menaces de Google déjoue une attaque de pirates nord-coréens. Début 2021, l’équipe a détaillé une campagne ciblant les chercheurs en sécurité. Plus récemment, l’équipe a travaillé avec l’équipe Chrome pour résoudre une vulnérabilité utilisée par deux cadres de piratage nord-coréens pour exécuter du code à distance.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.