Skriptni mehanizem Internet Explorer postane priljubljena tarča severnokorejskega APT v letu 2018

  • Oct 17, 2023

Severnokorejska hekerska skupina se osredotoča na napade na starajočo se tehnologijo, ki bo kmalu opuščena.

Skriptni mehanizem Internet Explorerja je bil tokrat najljubša tarča severnokorejske kibernetske vohunske skupine leto, potem ko so hekerji uporabili dva ničelna dneva, vendar so ustvarili tudi nova podviga za dva druga starejša ranljivosti.

Ime skupine je DarkHotel, kibernetska vohunska skupina, ki McAfee in številna druga podjetja za kibernetsko varnost so se že povezala z režimom v Pjongjangu.

Varnost

  • 8 navad zelo varnih delavcev na daljavo
  • Kako najti in odstraniti vohunsko programsko opremo iz telefona
  • Najboljše storitve VPN: Kakšna je primerjava najboljših 5?
  • Kako ugotoviti, ali ste vpleteni v kršitev podatkov – in kaj storiti naprej

Skupina deluje že od 2007, a je bilo javno izpostavljen leta 2014 ko je Kaspersky objavil zdaj razvpito poročilo s podrobnostmi o zapleteni hekerski operaciji, ki je vključevala vdiranje v notranja omrežja WiFi več sto hotelov, da bi z njimi okužili visoke goste zlonamerna programska oprema.

Kljub temu, da je bil v javnih poročilih izrinjen, DarkHotel ni prenehal z napadi, še naprej cilja na žrtve – in nazadnje političnih osebnosti v letih 2016 in 2017-- z isto taktiko.

Vodili pa so tudi druge operacije. V enem izmed njih se je skrivala tudi skupina, ki se v krogih kibernetske varnosti imenuje APT-C-06, Dubnium, Fallout Team, Karba, Luder, Nemim, SIG25 in Tapaoux. zlonamerna programska oprema v kopiji severnokorejskega protivirusnega programa poslali v študij tujim raziskovalcem.

Hekerji DarkHotel so se zapletli v Internet Explorer

Toda v letu 2018 je bila skupina še posebej aktivna in večkrat so jo opazili, da cilja na isto tehnologijo – skriptni mehanizem VBScript v Internet Explorerju.

Raziskovalci pravijo, da so letos hekerji DarkHotel našli in izkoristili a prvi IE zero-day (CVE-2018-8174) aprila in nato a drugo (CVE-2018-8373) v avgustu. Microsoft je popravil oba, maja oziroma septembra.

Toda po mnenju a novo poročilo objavljenem danes, raziskovalci pri Qihoo 360 Core pravijo, da je skupina ustvarila tudi nova izkoriščanja za dve starejši ranljivosti skriptnega mehanizma IE -- namreč CVE-2017-11869 in CVE-2016-0189.

"Po analizi smo ugotovili, da sta zakrivanje in izkoriščanje teh štirih [izkoriščanj] zelo dosledna," so povedali raziskovalci Qihoo 360 Core. "Sumimo, da sta iz istega hekerja (ali hekerske skupine)."

Zero-days je težko odkriti in še težje oborožiti v uporabnih podvigih. Ustvarjanje novih podvigov za stare hrošče tudi ni nekaj preprostega.

Morda nikoli ne bomo vedeli, zakaj DarkHotel porabi toliko sredstev za ciljanje na Internet Explorer, vendar je trend precej viden za vse raziskovalce APT.

Motor IE VBScript preživlja svoje zadnje dni

Tudi skriptni mehanizem VBScript v Internet Explorerju ni najboljša Microsoftova tehnologija. To je starodavni del kode iz zgodnjih dni Windows in Internet Explorerja, ki ga je vedno pestilo veliko število ranljivosti.

Microsoft se je pred mnogimi leti dobro zavedal varnostnih pomanjkljivosti te komponente. Zato, julija 2017, je Microsoft objavil, da onemogoča samodejno izvajanje kode VBScript v najnovejšem IE različico, ki je bila vključena v posodobitev Windows 10 Fall Creators Update, izdano jeseni lani.

Ta sprememba je pomenila, da hekerji niso mogli uporabiti kode VBScript za napad na uporabnike prek Internet Explorerja v sistemu Windows 10. Microsoft je obljubil tudi popravke za onemogočanje izvajanja kode VBScript v različicah IE v starejših izdajah sistema Windows.

Ta sprememba je ustavila številne operacije kibernetske kriminalitete, vendar se zdi, da se je DarkHotel prilagodil Microsoftovi nedavni napovedi opustitve VBScript.

Glede na poročila se je DarkHotel očitno odločil za uporabo izkoriščanja VBScript, vdelanih v Officeove dokumente, in ni neposredno ciljal na uporabnike Internet Explorerja prek brskalnika.

Namesto tega je DarkHotel žrtvam poslal Wordove dokumente, dokumente, v katere so prek vdelanih okvirjev IE naložili zlonamerno spletno stran. Hekerji DarkHotel so se odločili pametno, ker je bilo za te primere izvajanje kode VBScript še vedno dovoljeno.

Na podlagi trenutnih dokazov se zdi, da se je skupina leta 2018 popolnoma posvetila podvigom VBScript, preden so postali popolnoma neuporabni

Ker Microsoft še naprej onemogoča izvajanje VBScript za vedno več uporabnikov, smo lahko bili priča kibernetski vohunski skupini izprazni svoj arzenal VBScript v obupanem poskusu orožja hekerskih orodij, preden postanejo v prihodnje brez vrednosti leta.

Severnokorejska zgodovina drznih kibernetskih napadov

Povezano varnostno pokritje:

  • Strežniki Adobe ColdFusion pod napadom skupine APT
  • Ponudnike internetnih storitev v Kambodži so prizadeli nekateri največji napadi DDoS v zgodovini države
  • Ameriško kibernetsko poveljstvo začne nalagati tujo zlonamerno programsko opremo APT v VirusTotal
  • Cisco posodablja platformo robnega usmerjanja ASR 9000, da prenese uporabnike na 5G TechRepublic
  • Microsoft dela na prenosu Sysinternals v Linux
  • Hekerji vdrejo v StatCounter, da ugrabijo transakcije Bitcoin na borzi Gate.io
  • WPA3 Wi-Fi je tukaj in težje ga je vdreti CNET
  • Pred vmesnimi izpiti v ZDA je Facebook odstranil 30 računov in 85 profilov na Instagramu