Google Tehdit Analizi grubundan araştırmacılar, Kuzey Koreli APT37 bilgisayar korsanları grubuyla ilişkili bir Internet Explorer Zero-day güvenlik açığından yararlandıkları bir olayı ortaya çıkardılar.
Tehdit aktörleri, Kuzey Kore hükümeti altında faaliyet gösteren devlet destekli bir bilgisayar korsanı grubu olduğuna inanılan bu APT37’nin yanı sıra Güney Kore’den gelen kurbanları hedef almak için kullanılan silahlı bir belgeyi kullanarak güvenlik açığından yararlanmaya çalıştı.
JScript motorunda bir Internet Explorer sıfır gün güvenlik açığı (CVE-2022-41128) bulunur ve saldırganların rasgele kod yürüterek bu güvenlik açığından yararlanmasına olanak tanır. Başarılı denemelerden sonra, kullanıcı saldırganlar tarafından kontrol edilen kötü amaçlı web sitesini yüklerken aktörlerin tarayıcının tüm kontrolünü ele geçirmesine izin verin.
“JScript motorunda bulunan ve saldırganların, saldırganlar tarafından kontrol edilen kötü amaçlı web sitesini yüklediğinde rasgele kod yürüterek güvenlik açığından yararlanmalarına ve tarayıcının tüm denetimini ele geçirmelerine olanak tanıyan bir Internet Explorer sıfır gün güvenlik açığı.” Google Tehdit Analizi Grubu bildirildi.
IE 0 Günlük (CVE-2022-41128) Teknik Analizi:
Güney Kore’den çok sayıda kötü amaçlı Microsoft ofis belgesinin sunulması Virüs toplam motoruna yükleniyordu ” “221031 Seul Yongsan Itaewon kaza müdahale durumu (06:00).docx”, birkaç hayata neden olan Güney Kore’deki son büyük Cadılar Bayramı olayına atıfta bulunuyor.
Belgeye başarılı bir şekilde tıklandıktan sonra, yalnızca IE aracılığıyla işlenen uzak HTML içeriğini getirmek için bir zengin metin dosyası (RTF) uzak şablon tetikleyicisi indirin ve teknik, çeşitli bilgisayar korsanları grubu tarafından yapılan çeşitli bilgisayar korsanlığı girişimleri tarafından yaygın olarak kullanılır.
“Bu vektör aracılığıyla IE açıklarından yararlanmanın sağlanması, hedefin varsayılan tarayıcı olarak Internet Explorer’ı kullanmasını gerektirmeme veya açıktan yararlanmayı bir EPM sanal alan kaçışıyla zincirlememe avantajına sahiptir.”
Sıfır Gün İstismarı
Kötü amaçlı belge, kullanıcıları güvenilmeyen kaynaklardan gelen dosyalara karşı korumak için tasarlanmış bir Windows özelliği olan MotW (Mark-of-the-Web) ile uygulandı. Aktörler, uzak RTF şablonu getirilmeden önce kullanıcıları kandırarak korumalı görünümü devre dışı bırakır.
“Uzak RTF’yi teslim ederken, web sunucusu, uzak HTML içeriği istendiğinde tekrar gönderilen yanıtta benzersiz bir tanımlama bilgisi ayarlar. Bu, büyük olasılıkla gerçek bir enfeksiyonun parçası olmayan doğrudan HTML istismar kodu getirmelerini algılar.”
Ayrıca Javascript istismarı, istismarı başlatmadan önce ve istismarı bırakırken ve başarılı çalıştırmadan sonra komut ve kontrol sunucusuna iki kez rapor vermeden önce çerezin ayarlanıp ayarlanmadığını kontrol etti.
Windows API, özel hash algoritması ile Shell koduna göre çözümledi ve ilginç olan kısım, Shellcode’un tarayıcıdaki tüm istismar izlerini silmesi ve bir sonraki aşamayı indirmek için ilerlemeden önce önbellekleri temizlemesidir.
Aynı kampanyanın bir parçası olarak, saldırganlar aynı güvenlik açığından yararlanmaya çalışan birkaç kötü amaçlı belge yayınladı.
Ne yazık ki Araştırmacılar son yükü kurtaramadılar ve bunun ROKRAT, BLUELIGHT ve DOLPHIN gibi çeşitli implantlarla bağlantılı olduğunu gözlemlediler.
Uzlaşma göstergeleri (IOC’ler)
İlk belgeler:
- 56ca24b57c4559f834c190d50b0fe89dd4a4040a078ca1f267d0bbc7849e9ed7
- af5fb99d3ff18bc625fb63f792ed7cd955171ab509c2f8e7c7ee44515e09cebf
- 926a947ea2b59d3e9a5a6875b4de2bd071b15260370f4da5e2a60ece3517a32f
- 3bff571823421c013e79cc10793f238f4252f7d7ac91f9ef41435af0a8c09a39
- c49b4d370ad0dcd1e28ee8f525ac8e3c12a34cfcf62ebb733ec74cca59b29f82
Uzak RTF şablonu:
- 08f93351d0d3905bee5b0c2b9215d448abb0d3cf49c0f8b666c46df4fcc007cb
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin