Исследования, проведенные компанией Symantec показали, что компонент Internet Explorer Scripting Engine приводит к повреждению памяти устройств. Эта уязвимость была использована в атаках на Южную Корею.
Согласно сообщению, на блоге компании, злоумышленники смогли использовать эксплойт, приводящей к повреждению памяти с ошибкой CVE-2016-0189, позволяющей встроить произвольный код.
Пользователи получали программу по ссылке, включенную в электронную почту или сайт. После того, как файл был загружен, вредоносный код сохранялся на компьютере как% Temp% rund11.dll. Окончательное назначение кода пока неизвестно.
Ошибка CVE-2016-0189, атаковавшая Internet Explorer 9, 10 и 11, была исправлена в последнем патче от Мicrosoft. Тестовой или реальной целью злоумышленников являлась Южная Корея.
Южная Корея приняла в 1999 году закон, который требуют онлайн-продавцов установить Microsoft ActiveX для использования SEED шифра при выполнении операций. Internet Explorer является единственным браузером с поддержкой ActiveX, поэтому использование его в Южной Корее достаточно велико.
«Мотивы нападений на южнокорейские организации — шпионаж или саботаж» — заявил представитель Symantec. «Злоумышленники изучали «перспективные объекты» Южной Кореи для кражи конфиденциальных данных, либо их уничтожения.»