谷歌：国家黑客组织仍然在利用IE 0day

谷歌TAG 今年10月31日发现了该攻击，当时韩国的多个提交人员在VirusTotal网站上传了恶意微软Office 文档 “221031 首尔龙山区梨泰院事件响应情况 (06:00).docx”。一旦在受害者设备打开，该文档就会在下载使用IE渲染远程HTML的RTF远程模板后交付未知payload。远程加载交付该exploit的HTML内容可使攻击者利用该IE 0day，即使目标的默认浏览器并非IE。

该漏洞 (CVE-2022-41128) 是因为IE浏览器的JavaScript 引擎中的一个弱点造成的，它可导致攻击者在渲染恶意构造的网站时执行任意代码。微软在上个月的补丁星期二中将其修复，并在5天后分配CVE编号。

虽然谷歌TAG团队无法分析朝鲜黑客组织分发在韩国目标计算机上的最终恶意payload，但该黑客组织被指在攻击中部署大量恶意软件。

谷歌研究人员指出，“即使我们并未恢复最终的payload，但我们此前观察到该威胁组织传播大量植入如 ROKRAT、BLUELIGHT和DOLPHIN。APT37 植入一般利用合法云服务作为C2信道，并提供后门能力。”

APT37已活跃10年的时间，至少活跃于2012年，此前曾被火焰公司认为受朝鲜政府支持。该黑客组织主要攻击与朝鲜政权存在利益关系的个体，包括持不同政见者、外交官、记者、人权活动家和政府员工。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。