في نهاية أكتوبر استغل قراصنة كوريا الشمالية ثغرة أمنية في متصفح إنترنت إكسبلورر من مايكروسوفت وفقاً لبيانً جديد صادر عن مجموعة تحليل التهديدات التابعة لجوجل وأوضحت المجموعة أن الوثائق التي تشير إلى التدافع المأساوي في إيتايون في عاصمة سيول تضمنت برامج ضارة من أجل استهداف المستخدمين في كوريا الجنوبية.
بالإضافة إلى ذلك فقد أوقفت مايكروسوفت رسمياً متصفح Internet Explorer في يونيو من العام الماضي وقدمت متصفح إيدج Edge الجديد كبديل عنه ومع ذلك كشف التحليل الفني الذي أجرته مجموعة تحليل التهديدات أن برامج أوفيس Office تواصل تنفيذ معلمات جافا سكربت JavaScript باستخدام محرك إنترنت إكسبلورر مما يجعل من الممكن تنفيذ الهجوم.
تتأثر أنظمة ويندوز Windows من الإصدار 7 إلى الإصدار 11 وأنظمة ويندوز سيرفر من الإصدار 2008 إلى الإصدار 2022 والتي لم تقم بتثبيت التحديثات الأمنية التي تم إصدارها في نوفمبر المنصرم بالثغرة الأمنية وفي 31 أكتوبر 2022 تم تحميل مستندات أوفيس Office الضارة والتي حملت العنوان 221031 Seoul Yongsan Itaewon accident response situation (06:00).docx إلى ماسح الفيروسات فايروس توتال VirusTotal من جوجل وفقًا لمجموعة تحليل التهديدات حيث وأن بعد الفحص تبين لها وجود ثغرة أمنية.
حادثة إيتايون |
كوريا الشمالية تستغل حادثة كوريا الجنوبية في التجسس عليها
تُشير التقارير الى استفادت الوثائق الضارة من التغطية الإعلامية الواسعة لمأساة 29 أكتوبر في إيتايون والتي قُتل فيها 154 شخصاً في تدافع تسبب فيه حشد كبير خلال احتفال بعيد الهالوين في سيول واستفاد المستند من خلل في محرك جافا سكريبت JavaScript في Internet Explorer يسمى jscript9.dll يمكن استخدام هذا الخلل لإرسال برامج ضارة أو تعليمات برمجية ضارة إلى موقع ويب يتحكم فيه المهاجم.
وترمي مجموعة تحليل التهديدات الهجوم إلى مجموعة من الجهات الفاعلة المدعومة من الحكومة الكورية الشمالية المعروفة باسم APT37 حيث استهدفت هذه المجموعة سابقاً المنشقين من كوريا الشمالية والعاملين في مجال السياسة وقطاع الصحافة والناشطين في مجال حقوق الإنسان ومستخدمي Internet Explorer بهجمات مستهدفة باستخدام ثغرات Internet Explorer المكشوفة في جميع أنحاء كوريا الجنوبية.
على الرغم من أن البرامج الضارة المستخدمة في هذه الحملة لم يتم تحديدها من قبل مجموعة تحليل التهديدات فقد لاحظت سابقاً أن APT37 قامت بتثبيت برامج ضارة مثل Rokrat و Bluelight و Dolphin من خلال استغلال نقاط ضعف مماثلة والجميل فيما تقوم به المجموعة هو سرعة الاستجابة حيث تم إعلام Microsoft بالثغرة الأمنية في الحملة الجديدة في غضون ساعات من اكتشافها في 31 أكتوبر وتم إصلاحها في 8 نوفمبر.