En octubre de este año, el Grupo de Análisis de Amenazas (TAG) de Google descubrió que los piratas informáticos de Corea del Norte explotaron una vulnerabilidad de día cero en Internet Explorer. Una vulnerabilidad de día cero es una falla de seguridad previamente desconocida que los piratas informáticos pueden explotar para obtener acceso a una computadora o red.
Los investigadores de Google descubrieron la falla de día cero el 31 de octubre cuando varias personas cargaron un documento malicioso de Microsoft Office en la herramienta VirusTotal de la compañía. Estos documentos se parecían a los informes del gobierno que se refieren a la reciente tragedia de Itaewon en Seúl.
El grupo de hackers norcoreano APT37 llevó a cabo el ataque
El grupo de análisis técnico de TAG explicó que el grupo de piratería APT37 llevó a cabo los ataques utilizando correos electrónicos de phishing diseñado para engañar al destinatario para que haga clic en un enlace o archivo adjunto que contiene malware.
Los documentos maliciosos de Microsoft Office, titulados «221031 Situación de respuesta al accidente de Seoul Yongsan Itaewon (06:00).docx», explotaron el interés público en la tragedia que ocurrió en Itaewon el 29 de octubre, en la que 151 personas perdieron la vida en una multitud durante la festividades de Halloween.
Los investigadores de seguridad de TAG descubrieron que los piratas informáticos de Corea del Norte explotaron una vulnerabilidad de día cero en el motor Script de Internet Explorer. Seguimiento como CVE-2022-41128 con una puntuación de gravedad CVSS de 8,8. Una vez que una víctima abría los documentos maliciosos, entregaba una carga útil desconocida después de descargar una plantilla remota de archivo de texto enriquecido (RTF) que mostraba HTML remoto usando Internet Explorer. Dado que Office todavía usa el motor de Internet Explorer para ejecutar JavaScript, esto permitió el ataque.
Afortunadamente, Google descubrió la vulnerabilidad y se la informó a Microsoft. Posteriormente, Microsoft lanzó un parche para corregir la falla, que debería proteger a los usuarios de futuros ataques.
«Si bien no hemos recuperado un envío definitivo para esta campaña, hemos visto anteriormente al mismo grupo entregar varios implantes como ROKRAT, BLUELIGHT y DOLPHIN», dijeron Lecigne y Stevens. «Los implantes APT37 normalmente explotan los servicios de nube legítimos como un canal C2 y brindan capacidades típicas de la mayoría de las puertas traseras».
No está claro cuántas personas y organizaciones se vieron afectadas por el ataque de Corea del Norte, o qué tipo de información pudo haber sido robada. Sin embargo, este incidente es un recordatorio de la amenaza continua que representan los piratas informáticos patrocinados por el estado y la importancia de mantener el software actualizado y utilizar medidas de seguridad para protegerse contra tales ataques.
