Команда Google Threat Analysis Group (TAG) сообщила, что Северная Корея активно использовала уязвимость нулевого дня в Internet Explorer в октябре 2022 года. Атака была нацелена на южнокорейских пользователей. Она осуществлялась путём внедрения вредоносного ПО в документы, связанные с недавней массовой давкой в Сеуле во время празднования Хэллоуина.
Поддержка браузера Internet Explorer была полностью прекращена летом этого года, а пользователям рекомендовалось переходить на Microsoft Edge. Однако, как поясняют в TAG, Office по-прежнему использует движок IE для выполнения JavaScript. Это и сделало возможной атаку на компьютерах с Windows 7–11 и Windows Server 2008–2022, на которых не были установлены обновления безопасности от ноября 2022 года.
TAG стало известно об уязвимости, когда 31 октября 2022 года на VirusTotal были загружены вредоносные документы Microsoft Office под названием 221031 Seoul Yongsan Itaewon accident response situation (06:00).docx. В документе использовалась уязвимость нулевого дня Internet Explorer в jscript9.dll – движке JavaScript Internet Explorer. Эту уязвимость можно было использовать для доставки вредоносного ПО или вредоносного кода при отображении сайта, контролируемого злоумышленником.
Предполагается, что атака была делом рук группы APT37, поддерживаемой правительством Северной Кореи. Ранее эта группа уже использовала аналогичные эксплойты нулевого дня Internet Explorer в целевых атаках на северокорейских перебежчиков, политиков, журналистов, правозащитников и южнокорейских пользователей IE.
Microsoft уведомили об уязвимости в течение нескольких часов после её обнаружения 31 октября, компания устранила уязвимость 8 ноября.
Источник: The Verge