谷歌专门研究计算机威胁的分析小组发现,朝鲜黑客通过 Microsoft Office 文档利用了 Internet Explorer 中的 0day 漏洞。黑客利用韩国首都梨泰院地区的万圣节踩踏事件来引诱受害者。
Internet Explorer 并没有(完全)消亡
经过 27 年的良好和忠诚的服务,Internet Explorer 将于 2022 年 6 月退出,让位于 Microsoft Edge。但正如谷歌“威胁分析小组”在其博客上解释的那样,微软Office仍然使用Internet Explorer引擎来运行JavaScript编程语言。导致运行 Windows 7 及更高版本的计算机容易受到攻击的“细节”视窗11,以及运行 Windows Server 2008 至 2022 且未安装 2022 年 11 月安全更新的用户。
去年 10 月被黑客利用的漏洞,谷歌于 10 月 31 日发现了该漏洞,当时一份名为« 221031 首尔龙山梨泰院事故应对情况 (06:00).docx »已上传至«病毒总数»,Google 用于分析可疑文件和链接的在线服务。
该文档利用了 Internet Explorer 中“jscript9.dll”中的一个零日漏洞(之前没有任何已知补丁),该漏洞是浏览器的 JavaScript 引擎,黑客可利用该漏洞传递恶意代码或软件。
朝鲜政府支持的海盗
黑客利用媒体大量报道的事件传播这些虚假文件:10 月 29 日梨泰院悲剧,首尔万圣节庆祝活动期间的人群运动导致至少 153 人丧生。
谷歌网络安全专家将这次计算机攻击归因于朝鲜政府支持的一组行为者。这些被称为 APT37 的黑客此前曾利用 Internet Explorer 中的 0day 漏洞来攻击使用 Internet Explorer 的韩国记者、政策制定者和人权活动人士。该漏洞于 2022 年 10 月 31 日发现后几小时内就报告给了微软,并于 11 月 8 日修复了该漏洞。
微软在2019年就已经对这批黑客进行了处理。事实上,这家美国公司当时就收到了美国当局的命令,消除 50 个被朝鲜盗版者利用的域名s。这些域名被用来向页面发送网络钓鱼电子邮件,以对受害者进行网络钓鱼并到达他们的专业互联网网络。
来源 : 谷歌
