Passer au contenu

La Corée du Nord utilise une tragédie pour pirater Microsoft Office et Internet Explorer

Dans un billet de blog, Google indique avoir découvert que la Corée du Nord exploitait une vulnérabilité zero-day d’Internet Explorer. Pour ce faire, les pirates utilisaient des documents Office faisant référence à une tragédie qui s’est déroulée à Séoul, en Corée du Sud.

Le groupe d’analyse spécialisé dans les menaces informatiques chez Google a découvert qu’une vulnérabilité 0-day d’Internet Explorer était exploitée par des pirates nord-coréens à travers des documents Microsoft Office. Les hackers attiraient leurs victimes en faisant référence à la bousculade d’Halloween à Itaewon, dans un quartier de la capitale sud-coréenne.

Internet Explorer n’est pas (totalement) mort

Après 27 ans de bons et loyaux services, Internet Explorer a tiré sa révérence en juin 2022, laissant la place à Microsoft Edge. Mais comme l’explique le « groupe d’analyse de la menace » de Google sur son blog, Microsoft Office utilise toujours le moteur d’Internet Explorer pour exécuter le langage de programmation JavaScript. Un « détail » qui rendait vulnérables les machines sous Windows 7 et jusqu’à Windows 11, ainsi que celles sous Windows Server 2008 à 2022 qui n’avaient pas installé la mise à jour de sécurité du mois de novembre 2022.

Une vulnérabilité exploitée par les pirates en octobre dernier et que Google a repéré le 31 octobre lorsqu’un des documents Microsoft Office malveillants intitulés « 221031 Seoul Yongsan Itaewon accident response situation (06:00).docx » a été téléchargé sur « VirusTotal », le service en ligne d’analyse de fichiers et liens suspects de Google.

fichier microsoft office pirate nord coreen
Le fichier Microsoft Office utilisé par les pirates. – © Google

Le document exploitait une vulnérabilité zero-day (jusqu’alors sans aucun correctif connu) d’Internet Explorer trouvée dans « jscript9.dll », le moteur JavaScript du navigateur qui peut être utilisé pour diffuser du code ou des logiciels malveillants par les pirates.

Des pirates soutenus par le gouvernement nord-coréen

Les hackers ont profité d’un évènement à la couverture médiatique importante pour diffuser ces faux documents : la tragédie d’Itaewon du 29 octobre dernier au cours de laquelle au moins 153 personnes ont perdu la vie lors d’un mouvement de foule lors de la célébration d’Halloween à Séoul.

Les spécialistes en cybersécurité de Google attribuent cette attaque informatique à un groupe d’acteurs soutenus par le gouvernement nord-coréen. Ces pirates, connus sous le nom d’APT37, ont déjà exploité des failles 0-day d’Internet Explorer pour cibler des journalistes, décideurs politiques et militants des droits de l’homme sud-coréens qui utilisaient Internet Explorer. La vulnérabilité a été signalée à Microsoft dans les heures qui ont suivi sa découverte, le 31 octobre 2022, et la faille a été corrigée le 8 novembre.

Microsoft avait déjà eu affaire à ce groupe de hackers en 2019. En effet, l’entreprise américaine avait alors reçu une ordonnance des autorités américaines pour éliminer 50 noms de domaines exploités par les pirates nord-coréens. Les noms de domaine servaient à envoyer des emails de phishing vers des pages pour hameçonner leurs victimes et atteindre leurs réseaux internet professionnels.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Google