Северокорейская хакерская группа APT 37 воспользовалась уязвимостью «нулевого дня» в Internet Explorer для распространения вредоносного софта RokRAT среди пользователей в Южной Корее
Хотя Internet Explorer был отключен еще в прошлом году, это не помешало северокорейским хакерам использовать его для атак на пользователей.
Исследователи из AhnLab выяснили, что злоумышленники воспользовались неизвестной ранее уязвимостью в Internet Explorer для распространения вредоносного ПО среди пользователей в Южной Корее.
Как была осуществлена атака
В мае хакерская группа APT 37 (или ScarCruft) воспользовалась уязвимостью «нулевого дня» в Internet Explorer, чтобы запустить масштабную атаку.
Они скомпрометировали сервер южнокорейской рекламной компании, что позволило загружать вредоносный код через всплывающие рекламные окна. Вредоносная программа загружалась без участия пользователя, что делало атаку особенно опасной.
Уязвимость через компоненты Internet Explorer
Несмотря на то, что Internet Explorer отключен на большинстве ПК с Windows, его компоненты всё ещё можно найти в режиме IE, встроенном в Microsoft Edge, и в сторонних модулях.
Хакеры раскрыли сразу 29 уязвимостей нулевого дня. В том числе в Windows, Ubuntu, Firefox, Chrome и Safaritproger.ru
Это дает хакерам возможность эксплуатировать устаревший браузер.
Злоумышленники использовали факт того, что многие пользователи в Южной Корее устанавливают бесплатное ПО с рекламными модулями, что в конечном итоге и давало возможность злоупотреблять компонентами Internet Explorer.
Опасность устаревших технологий
Сообщается, что хакеры использовали уязвимость для доставки RokRAT — вредоносного софта, который может выполнять удаленные команды и похищать данные с компьютера жертвы.
Microsoft уже выпустила патч для устранения этой уязвимости в августе, однако остаётся риск, что злоумышленники смогут найти другие способы эксплуатации компонентов Internet Explorer.
Этот инцидент подчёркивает, что даже устаревшие браузеры могут оставаться источником угроз для пользователей.