Lazarus в ходе атак на исследователей безопасности использовала вредоносные MHTML-файлы.
Северокорейские преступники в ходе своих недавних атак на исследователей безопасности использовали 0Day-уязвимость в браузере Internet Explorer. Речь идет об атаках группировки Lazarus, поддерживаемой правительством Северной Кореи, которая использовала социальные сети для атак на исследователей безопасности. Злоумышленники предлагали ИБ-специалистам совместно исследовать уязвимости, а затем пытались заразить их компьютеры вредоносным ПО, находящимся внутри проекта Visual Studio.
Как сообщили специалисты южнокорейской фирмы ENKI, Lazarus в ходе атак на исследователей безопасности использовала MHTML-файлы. Эксперты проанализировали полезные нагрузки, загруженные MHT-файлом, и обнаружили в нем эксплоит для уязвимости нулевого дня в Internet Explorer.
MHT/MHTML (также известный как MIME HTML) представляет собой специальный формат файла, используемый Internet Explorer для хранения web-страницы и ее ресурсов в одном архиве. MHT-файл, отправленный исследователям ENKI, содержал предположительно RCE-эксплоит для Chrome 85 и назывался Chrome_85_RCE_Full_Exploit_Code.mht.
При открытии файла MHT/MHTML автоматически запускается Internet Explorer для отображения его. Если выполнение скрипта было разрешено, вредоносный javascript-код загружает две полезные нагрузки, одна из которых будет содержать эксплоит для уязвимости нулевого дня в Internet Explorer. Уязвимость двойного освобождения в IE 11 позволяет злоумышленникам загружать список запущенных процессов, осуществлять снимки экрана и отправлять похищенную информацию на С&C-сервер.
Ладно, не доказали. Но мы работаем над этим