10.12.2022 | Северокорейские хакеры не гнушаются использовать трагедии в своих целях |
Северокорейская группировка APT37 (также известная как ScarCruft, Reaper и Group123) активно использовала 0-day уязвимость под идентификатором CVE-2022-41128 в браузере Internet Explorer.против южнокорейских пользователей. Об этом сообщили исследователи из Google Threat Analysis Group (TAG), которые обнаружили эту брешь в защите в конце октября, после того как несколько пользователей загрузили вредоносные документы Microsoft Office на VirusTotal. Злоумышленники выдавали эти документы за правительственные отчеты, связанные с трагедией в районе Итхэвон, Сеул. Там во время празднования Хэллоуина произошла давка, в результате чего по меньшей мере 158 человек погибли, а 196 получили ранения. Атака проходила по следующему сценарию:
0-day получила идентификатор CVE-2022-41128 и оценку 8.8 из 10 по шкале CVSS. Как говорят специалисты, эта уязвимость связана с движком JavaScript в Internet Explorer и позволяет злоумышленникам выполнять произвольный код в ходе рендеринга вредоносного сайта. К счастью, исследователи TAG быстро сообщили о ней Microsoft и спустя пять дней после присвоения идентификатора CVE она была устранена. Однако есть и плохие новости – исследователи не смогли восстановить и проанализировать конечную полезную нагрузку. Остается гадать, что использовали злоумышленники на этот раз: ROKRAT, BLUELIGHT или DOLPHIN. |
Проверить безопасность сайта