Google安全小组发现朝鲜黑客利用了IE浏览器10月份爆出的零日漏洞

2022-12-08 05:43:35 来源：cnBeta

(资料图片)

Google威胁分析小组（TAG）的一篇新博文显示，2022年10月，朝鲜积极利用了一个Internet Explorer零日漏洞。这次攻击以韩国用户为目标，将恶意软件嵌入参考最近首尔梨泰院人群踩踏惨案的文件中。

Internet Explorer浏览器早在今年6月初就正式退役了，此后被微软Edge取代。然而，正如TAG的技术分析所解释的那样，Office仍在使用IE引擎来执行启用攻击的JavaScript，这就是为什么它在没有安装2022年11月新的安全更新的Windows7至11和Windows Server 2008至2022机器上依然存在漏洞。

当题为"221031首尔龙山梨泰院事故应对情况（06:00）.docx"的恶意微软Office文档于2022年10月31日被上传到VirusTotal时，TAG意识到来自IE的漏洞依然阴魂不散。这些文件利用了10月29日在梨泰院发生的悲剧的广泛宣传，在这场悲剧中，151人在首尔的万圣节庆祝活动中因人群踩踏而丧生。

TAG认为这次攻击是由朝鲜政府支持的一个名为APT37的组织所为，该组织以前曾在针对朝鲜叛逃者、政策制定者、记者、人权活动家和韩国IE用户的攻击中使用类似的IE零日漏洞。

该文件利用了在"jscript9.dll"（Internet Explorer的JavaScript引擎）中发现的Internet Explorer零日漏洞，在渲染攻击者控制的网站时，该漏洞可被用来传递恶意软件或恶意代码。

TAG在博文中说，它"没有获得这次攻击活动的最终载荷"，但指出之前观察到APT37使用类似的漏洞来输送恶意软件，如Rokrat、Bluelight和Dolphin。在这种情况下，该漏洞在10月31日被发现后的几个小时内就被报告给了微软，并在11月8日被修补。

关键词： Google JavaScript