Posté le décembre 9, 2022 à 6:24
GOOGLE LANCE UNE ALERTE SUR UNE VULNÉRABILITÉ ZERO DAY D’INTERNET EXPLORER EXPLOITÉE PAR LES HACKERS DE SCARCRUFT
Des hackers basés en Corée du Nord ont exploité une vulnérabilité zero day dans Internet Explorer. Ces hackers ont exploité cette vulnérabilité en ciblant des utilisateurs basés en Corée du Sud, en profitant de la récente bousculade d’Halloween à Itaweon. Les acteurs malveillants incitent les utilisateurs à télécharger des logiciels malveillants sur leurs appareils.
Google met en garde contre une vulnérabilité zero day sur Internet Explorer
Des chercheurs du groupe d’analyse des menaces de Google ont découvert le logiciel malveillant en question. Les chercheurs impliqués sont Benoít Sevens et Clément Lecigne. Cette dernière découverte vient s’ajouter à la liste des attaques menées par le groupe de hackers ScarCruft.
Le groupe d’acteurs de menaces ScarCruft est également connu sous le nom de APT37. Ses autres noms d’identification sont Reaper, InkySquid et Ricochet Chollima. Les chercheurs de Google ont noté que le groupe d’acteurs de la menace a l’habitude de cibler des personnes en particulier, y compris, mais sans s’y limiter, les utilisateurs Sud-Coréens.
Dans l’analyse de jeudi, les chercheurs ont noté que « le groupe a historiquement concentré son ciblage sur les utilisateurs Sud-Coréens, les transfuges Nord-Coréens, les décideurs politiques, les journalistes et les militants des droits de l’homme. »
Les conclusions des chercheurs révèlent également que le groupe d’acteurs de la menace a continué à exploiter les vulnérabilités d’Internet Explorer. Certaines des vulnérabilités exploitées sont CVE-2020-138- et CVE-2021-26411. Ces vulnérabilités ont été utilisées pour lancer des attaques par porte dérobée telles que BLUELIGHT et Dolphin.
La backdoor Dolphin n’a été détectée que récemment après avoir été divulguée par la société de cybersécurité ESET vers la fin du mois dernier. L’APT37 semble déjà exploiter cette porte dérobée pour mener ses campagnes.
L’autre outil critique qui a aussi été utilisé dans l’exploit est RokRat. Ce dernier est un cheval de Troie d’accès à distance qui fonctionne sur les appareils Windows. Ce cheval de Troie possède de multiples fonctions qui lui permettent de réaliser un large éventail de fonctions telles que la capture de captures d’écran, l’enregistrement des frappes au clavier et la récolte des informations du périphérique Bluetooth.
L’équipe de recherche de Google a aussi constaté la chaîne d’attaque utilisée par les acteurs de la menace. Les résultats ont révélé que les acteurs ont utilisé un document Microsoft Word malveillant téléchargé sur VirusTotal le 31 octobre 2021.
Les hackers exploitent également une autre faille zero day sur Internet Explorer. Ce bug existe dans le moteur JavaScript Jscript9. Microsoft a corrigé cette vulnérabilité, nommée CVE-2022-41128, en novembre 2022.
Les utilisateurs Sud-Coréens ciblés
Le fichier du logiciel malveillant porte sur l’incident survenu dans le quartier d’Itaewon le 29 octobre. Les acteurs de la menace profitent du grand intérêt du public pour cette tragédie.
Les chercheurs en cybersécurité ont également noté qu’il n’était pas surprenant que le groupe de hackers ait ciblé des utilisateurs basés en Corée du Sud. Ils notent toutefois que le groupe n’a pas utilisé d’exploits zero day depuis un certain temps, ce qui rend le cas récent unique.
Filip Jurcacko, chercheur au sein de l’entreprise de cybersécurité ESET, a indiqué : « Il n’est pas surprenant qu’ils continuent à cibler les utilisateurs sud-coréens. Cela fait un certain temps que nous n’avons pas vu ScarCruft utiliser des exploits zero day. Auparavant, ils réutilisaient des PoC publics d’exploits n-day ».
Une fois que les utilisateurs ont ouvert le fichier, les acteurs de la menace peuvent exploiter la vulnérabilité en question. L’attaque est également facilitée par le fait que Microsoft Office prend en charge le contenu HTML via Internet Explorer. Il est donc facile pour les acteurs de la menace d’accéder à l’appareil de l’utilisateur et de mener à bien l’exploitation.
L’équipe de MalwareHunter a également déclaré que ce n’était pas la première fois qu’un groupe de hackes exploitait le fichier Word en question. Selon MalwareHunter, le fichier malveillant a également été partagé par le groupe Shadow Chaser le 31 octobre de cette année.
L’équipe note que le fichier Word malveillant était un « exemple intéressant de modèle d’injection DOCX » et que son origine se trouvait en Corée. Cela signifie que dans presque tous les cas, le logiciel malveillant a été utilisé pour mener le même type d’attaque en ciblant des utilisateurs basés en Corée du Sud.
Après avoir réussi à exploiter la vulnérabilité, les hackers ont fourni un shellcode qui a effacé toutes les traces. Ils ont ensuite effacé le cache et l’historique d’Internet Explorer. De plus, ils ont téléchargé la charge utile de l’étape suivante.
Les chercheurs de Google ont noté qu’ils n’ont pas pu récupérer les autres logiciels malveillants utilisés dans la campagne. Cependant, ils ont ajouté que le logiciel malveillant pourrait avoir été impliqué dans le déploiement des portes dérobées RokRat, BLUELIGHT et Dolphin.
« Compte tenu de la rareté des exploits zero day, nous pensons que ScarCruft l’utilisera en combinaison avec certaines de ses portes dérobées plus sophistiquées, comme Dolphin. En outre, le thème des domaines de commande et de contrôle correspond aux campagnes précédentes », a déclaré l’équipe TAG de Google.
