Pazartesi, Nisan 15, 2024
Ana SayfaTeknoloji HaberleriKuzey Koreli bilgisayar korsanları bir kez daha Internet Explorer'ın kalan bitlerinden yararlanıyor

Kuzey Koreli bilgisayar korsanları bir kez daha Internet Explorer’ın kalan bitlerinden yararlanıyor

Kuzey Kore bayrağına yerleştirilmiş Internet Explorer logosu
Büyüt / Kuzey Kore hükümeti tarafından desteklendiğine inanılan bir grup olan APT37, çeşitli Windows tabanlı uygulamalarda hala bulunan Internet Explorer parçalarından yararlanarak başarıya ulaştı.

Aurich Lawson | Getty Resimleri

Microsoft’un Edge tarayıcısı, neredeyse her açıdan Internet Explorer’ın yerini almıştır, ancak bazı istisnalar devam etmektedir. Google güvenlik araştırmacıları, Microsoft Word’ün derinliklerinde bulunanlardan birinin bu sonbaharda Kuzey Kore destekli bir grup tarafından istismar edildiğini iddia ediyor.

Google’ın Tehdit Analizi Grubu’nun (TAG) bir blog gönderisinde belirttiği gibi, devlet destekli APT37, Internet Explorer’ın varlığını ilk kez kullanmıyor. APT37, sınırlı ama yine de başarılı bir Internet Explorer yolu aracılığıyla Güney Koreli gazetecileri ve aktivistleri ve ayrıca Kuzey Koreli sığınmacıları hedef alan başarıyı tekrarladı.

Son istismar, Kuzey Kore haberlerine adanmış bir Güney Kore sitesi olan Daily NK’ya gidenleri hedef aldı. Bu, Itaewon’da en az 151 kişiyi öldüren Cadılar Bayramı kalabalığını içeriyordu. Zamanı ve tarihi olaydan iki günden daha kısa bir süre sonraymış gibi adlandırılan ve “kaza müdahale durumu” etiketli bir Microsoft Word .docx belgesi ortalıkta dolaşmaya başladı. Güney Koreli kullanıcılar belgeyi, Word ve WordPad’de uzun zamandır bilinen bir güvenlik açığı olan CVE-2017-0199 ile işaretlendiği Google’ın sahibi olduğu VirusTotal’a göndermeye başladı.

Söz konusu belgenin, Güney Kore'nin Itaewon kentinde Ekim ayı sonlarında meydana gelen ölümcül bir kalabalık paniğiyle ilgili olduğu iddia ediliyor.
Büyüt / Söz konusu belgenin, Güney Kore’nin Itaewon kentinde Ekim ayı sonlarında meydana gelen ölümcül bir kalabalık paniğiyle ilgili olduğu iddia ediliyor.

Nisan 2017’de olduğu gibi, belgeyi tıklayarak Word/WordPad’in indirilmeyen “Korumalı Görünüm” dışında görüntülemesine izin verirseniz, saldırganın kontrolündeki bir sunucudan bir zengin metin şablonu indirir ve ardından Zengin gibi görünen daha fazla HTML alır. Metin Biçimi şablonları. Office ve WordPad, HTML’yi Microsoft’un “özel hazırlanmış dosyalar” olarak tanımladığı şekilde işlemek için doğası gereği Internet Explorer’ı kullanır ve saldırganlara daha sonra çeşitli kötü amaçlı yazılım yüklerini getirmeleri için bir yol sağlar. Güvenlik açığı aynı ay yamalanırken devam etti; bir yıldan fazla bir süre sonra bir Petya dalgasında istismar edilen vektörlerden biriydi.

Belirli güvenlik açığı, Internet Explorer’ın JavaScript motoruyla ilgilidir. Tam zamanında optimizasyon sırasındaki bir hata, veri tipi karışıklığına ve bellek yazılmasına yol açar. Bu özel istismar, Internet Explorer önbelleğini ve varlığının geçmişini temizleyerek kendi kendine de temizlendi. Google’ın TAG’ı hangi yüklerin teslim edildiğini bilmese de, APT37 daha önce tümü Kuzey Kore’nin siyasi ve ekonomik çıkarlarına odaklanan BLUELIGHT, ROKRAT ve DOLPHIN’i tetikleyen istismarları dağıtmıştı. (Yine de Kuzey Koreli bilgisayar korsanları bir Chrome açıklarından yararlanmaya karşı değiller.)

Microsoft, JScript motorunda belirli bir açıktan yararlanmaya yama yaptı, ancak bu, uzaktan kodlu Word doc saldırılarının beşinci yılı olduğundan, bir süre daha ortalıkta olacak gibi görünüyor. Ve Kuzey Koreli aktörler onlar üzerinde oynamak için can atacaklar.

RELATED ARTICLES

Popüler Konular