Dans un billet de blog, Google indique avoir découvert que la Corée du Nord exploitait une vulnérabilité zero-day d’Internet Explorer. Pour ce faire, les pirates utilisaient des documents Office faisant référence à une tragédie qui s’est déroulée à Séoul, en Corée du Sud.
Le groupe d’analyse spécialisé dans les menaces informatiques chez Google a découvert qu’une vulnérabilité 0-day d’Internet Explorer était exploitée par des pirates nord-coréens à travers des documents Microsoft Office. Les hackers attiraient leurs victimes en faisant référence à la bousculade d’Halloween à Itaewon, dans un quartier de la capitale sud-coréenne.
Internet Explorer n’est pas (totalement) mort
Après 27 ans de bons et loyaux services, Internet Explorer a tiré sa révérence en juin 2022, laissant la place à Microsoft Edge. Mais comme l’explique le « groupe d’analyse de la menace » de Google sur son blog, Microsoft Office utilise toujours le moteur d’Internet Explorer pour exécuter le langage de programmation JavaScript. Un « détail » qui rendait vulnérables les machines sous Windows 7 et jusqu’à Windows 11, ainsi que celles sous Windows Server 2008 à 2022 qui n’avaient pas installé la mise à jour de sécurité du mois de novembre 2022.
Une vulnérabilité exploitée par les pirates en octobre dernier et que Google a repéré le 31 octobre lorsqu’un des documents Microsoft Office malveillants intitulés « 221031 Seoul Yongsan Itaewon accident response situation (06:00).docx » a été téléchargé sur « VirusTotal », le service en ligne d’analyse de fichiers et liens suspects de Google.
Le document exploitait une vulnérabilité zero-day (jusqu’alors sans aucun correctif connu) d’Internet Explorer trouvée dans « jscript9.dll », le moteur JavaScript du navigateur qui peut être utilisé pour diffuser du code ou des logiciels malveillants par les pirates.
Des pirates soutenus par le gouvernement nord-coréen
Les hackers ont profité d’un évènement à la couverture médiatique importante pour diffuser ces faux documents : la tragédie d’Itaewon du 29 octobre dernier au cours de laquelle au moins 153 personnes ont perdu la vie lors d’un mouvement de foule lors de la célébration d’Halloween à Séoul.
Les spécialistes en cybersécurité de Google attribuent cette attaque informatique à un groupe d’acteurs soutenus par le gouvernement nord-coréen. Ces pirates, connus sous le nom d’APT37, ont déjà exploité des failles 0-day d’Internet Explorer pour cibler des journalistes, décideurs politiques et militants des droits de l’homme sud-coréens qui utilisaient Internet Explorer. La vulnérabilité a été signalée à Microsoft dans les heures qui ont suivi sa découverte, le 31 octobre 2022, et la faille a été corrigée le 8 novembre.
Microsoft avait déjà eu affaire à ce groupe de hackers en 2019. En effet, l’entreprise américaine avait alors reçu une ordonnance des autorités américaines pour éliminer 50 noms de domaines exploités par les pirates nord-coréens. Les noms de domaine servaient à envoyer des emails de phishing vers des pages pour hameçonner leurs victimes et atteindre leurs réseaux internet professionnels.
source : 01net