Команда Google Threat Analysis Group (TAG) повідомила, що Північна Корея активно використовувала вразливість нульового дня в Internet Explorer у жовтні 2022 року. Атака була орієнтована на південнокорейських користувачів. Вона здійснювалася шляхом впровадження шкідливого програмного забезпечення в документи, пов’язані з недавньою масовою тиснявою в Сеулі під час святкування Хелловіну.
Підтримка Internet Explorer була повністю припинена влітку цього року, а користувачам рекомендувалося переходити на Microsoft Edge. Однак, як пояснюють у TAG, Office, як і раніше, використовує рушій IE для виконання JavaScript. Це й уможливило атаку на комп’ютерах з Windows 7–11 та Windows Server 2008–2022, на яких не було встановлено оновлення безпеки від листопада 2022 року.
TAG стало відомо про вразливість, коли 31 жовтня 2022 року на VirusTotal були завантажені шкідливі документи Microsoft Office під назвою Seoul Yongsan Itaewon accident response situation (06:00).docx. У документі використовувалася вразливість нульового дня Internet Explorer в jscript9.dll – рушії JavaScript Internet Explorer. Цю вразливість можна було використовувати для доставлення шкідливого програмного забезпечення або шкідливого коду при відображенні сайту, контрольованого зловмисником.
Передбачається, що атака була справою рук групи APT37, яку підтримує уряд Північної Кореї. Раніше ця група вже використала аналогічні експлойти нульового дня Internet Explorer у цільових атаках на північнокорейських перебіжчиків, політиків, журналістів, правозахисників та південнокорейських користувачів IE.
Microsoft повідомила про вразливість протягом декількох годин після її виявлення 31 жовтня, компанія усунула вразливість 8 листопада.
Джерело: The Verge