Internet Explorer non è morto. Uno 0day è stato rilevato sotto sfruttamento attivo

Redazione RHC : 9 Dicembre 2022 11:38

Il Google Threat Analysis Group (TAG) ha avvertito che il gruppo di hacker nordcoreani APT37 (alias InkySquid, Reaper e Ricochet Chollima) ha utilizzato una vulnerabilità precedentemente sconosciuta in Internet Explorer per infettare obiettivi sudcoreani con del malware.

Gli analisti di TAG sono venuti a conoscenza di questo attacco il 31 ottobre, quando un documento dannoso di Microsoft Office chiamato “221031 Seoul Yongsan Itaewon accident response situation (06:00).docx” è stato caricato su VirusTotal dalla Corea del Sud. 

Gli aggressori hanno usato come esca la morte di 151 persone in una fuga precipitosa nella regione centrale di Seoul. 

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Questo incidente si è verificato il 29 ottobre, durante la celebrazione di Halloween, prima dell’inizio della pandemia di coronavirus.

Una volta aperto sui dispositivi delle vittime, questo documento ha consegnato un payload sconosciuto (scaricando un modello RTF remoto che ha reso l’HTML remoto utilizzando Internet Explorer). 

Il download del contenuto HTML che ha consegnato l’exploit al sistema della vittima ha consentito agli hacker di utilizzare una vulnerabilità 0-day in IE anche se gli obiettivi non lo utilizzavano come browser predefinito.

Questa vulnerabilità zero-day (monitorata con il codice CVE-2022-41128) è correlata al motore JavaScript in Internet Explorer e consente agli aggressori di eseguire codice arbitrario durante il rendering di un sito dannoso. 

Gli sviluppatori Microsoft hanno corretto questo bug nell’ambito dell’aggiornamento di novembre, appena cinque giorni dopo che alla vulnerabilità era stato assegnato un identificatore CVE e subito dopo aver ricevuto il rapporto dei ricercatori.

Sebbene gli esperti di Google TAG non siano stati in grado di analizzare il payload finale di questa campagna, notano che gli hacker nordcoreani utilizzano un’ampia gamma di malware nei loro attacchi.

“Anche se non abbiamo recuperato il carico utile finale per questa campagna, in precedenza abbiamo visto un team consegnare vari impianti tra cui ROKRAT, BLUELIGHT e DOLPHIN”

Hanno riportato gli esperti. “Gli impianti APT37 in genere utilizzano servizi cloud legittimi come C&C e dispongono di funzionalità tipiche della maggior parte delle backdoor”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.