كولين تيري
مجموعة تحليل التهديدات (TAG) من Google أعلن يوم الأربعاء التفاصيل الفنية لثغرة يوم الصفر التي تستخدمها مجموعة التهديد المستمر المتقدم في كوريا الشمالية (APT).
تم اكتشاف هذا الخلل في أواخر تشرين الأول (أكتوبر) ، وهو عبارة عن ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) لنظام التشغيل Windows تم تتبعها على أنها CVE-2022-41128. يسمح عيب اليوم صفر للجهات الفاعلة في التهديد باستغلال خطأ محرك Internet Explorer JScript من خلال تعليمات برمجية ضارة مضمنة في مستندات Microsoft Office.
عالجت Microsoft أولاً الثغرة الأمنية في طرح التصحيح الخاص بها الشهر الماضي. إنه يؤثر على Windows 7 إلى 11 و Windows Server 2008 حتى 2022.
وفقًا لـ TAG من Google ، قامت الجهات الفاعلة المدعومة من الحكومة في كوريا الشمالية بتسليح الثغرة أولاً لاستخدامها ضد المستخدمين الكوريين الجنوبيين. ثم قام المهاجمون بحقن الشفرة الخبيثة في مستندات Microsoft Office ، مستخدمين إشارة إلى حادثة مأساوية في سيول ، كوريا الجنوبية ، لجذب ضحاياهم.
بالإضافة إلى ذلك ، اكتشف الباحثون وثائق ذات "استهداف مشابه" ، والتي من المحتمل أن تستخدم لاستغلال نفس الثغرة الأمنية.
قال TAG من Google في تقرير الأمان الخاص بها: "قام المستند بتنزيل نموذج بعيد لملف نصي منسق (RTF) ، والذي بدوره جلب محتوى HTML البعيد". "نظرًا لأن Office يعرض محتوى HTML هذا باستخدام Internet Explorer (IE) ، فقد تم استخدام هذه التقنية على نطاق واسع لتوزيع عمليات استغلال IE عبر ملفات Office منذ عام 2017 (على سبيل المثال CVE-2017-0199). يتميز تقديم عمليات استغلال IE عبر هذا المتجه بميزة عدم مطالبة الهدف باستخدام Internet Explorer كمتصفحه الافتراضي ، أو ربط الثغرة بميزة حماية EPM. "
في معظم الحالات ، قد يتضمن المستند المصاب ميزة أمان Mark-of-the-Web. وبالتالي ، يجب على المستخدمين تعطيل العرض المحمي للمستند يدويًا من أجل نجاح الهجوم ، بحيث يمكن للكود استرداد قالب RTF البعيد.
على الرغم من أن Google TAG لم تنته في نهاية المطاف باستعادة الحمولة النهائية للحملة الخبيثة المنسوبة إلى مجموعة APT هذه ، إلا أن خبراء الأمن لاحظوا عمليات زرع مماثلة يستخدمها ممثلو التهديد ، بما في ذلك BLUELIGHT و DOLPHIN و ROKRAT.
