Атаковавшие ИБ-исследователей хакеры использовали 0Day-уязвимость в IE

Северокорейские преступники в ходе своих недавних атак на исследователей безопасности использовали 0Day-уязвимость в браузере Internet Explorer. Речь идет об атаках группировки Lazarus, поддерживаемой правительством Северной Кореи, которая использовала социальные сети для атак на исследователей безопасности. Злоумышленники предлагали ИБ-специалистам совместно исследовать уязвимости, а затем пытались заразить их компьютеры вредоносным ПО, находящимся внутри проекта Visual Studio.

Как сообщили специалисты южнокорейской фирмы ENKI, Lazarus в ходе атак на исследователей безопасности использовала MHTML-файлы. Эксперты проанализировали полезные нагрузки, загруженные MHT-файлом, и обнаружили в нем эксплоит для уязвимости нулевого дня в Internet Explorer.

MHT/MHTML (также известный как MIME HTML) представляет собой специальный формат файла, используемый Internet Explorer для хранения web-страницы и ее ресурсов в одном архиве. MHT-файл, отправленный исследователям ENKI, содержал предположительно RCE-эксплоит для Chrome 85 и назывался Chrome_85_RCE_Full_Exploit_Code.mht.

При открытии файла MHT/MHTML автоматически запускается Internet Explorer для отображения его. Если выполнение скрипта было разрешено, вредоносный javascript-код загружает две полезные нагрузки, одна из которых будет содержать эксплоит для уязвимости нулевого дня в Internet Explorer. Уязвимость двойного освобождения в IE 11 позволяет злоумышленникам загружать список запущенных процессов, осуществлять снимки экрана и отправлять похищенную информацию на С&C-сервер.