Google advarer mod, at Nordkoreas hackergruppe udnytter Zero-Day-fejl til Internet Explorer

Genudgivet af Platon

Abonnenter: 0

Colin Thierry

Udgivet på: 9. December, 2022

Googles trusselsanalysegruppe (TAG) annoncerede onsdag tekniske detaljer om en nul-dages sårbarhed brugt af en nordkoreansk Advanced Persistent Threat (APT) gruppe.

Denne fejl blev opdaget i slutningen af oktober og er en Windows Scripting Languages Remote Code Execution (RCE) sårbarhed sporet som CVE-2022-41128. Zero-day-fejlen gør det muligt for trusselsaktører at udnytte en Internet Explorer JScript-motorfejl gennem ondsindet kode, der er indlejret i Microsoft Office-dokumenter.

Microsoft adresserede først sårbarheden i sin patch-udrulning i sidste måned. Det påvirker Windows 7 til 11 og Windows Server 2008 til 2022.

Ifølge Googles TAG bevæbnede nordkoreanske regeringsstøttede aktører først sårbarheden for at bruge den mod sydkoreanske brugere. Trusselsaktørerne injicerede derefter den ondsindede kode i Microsoft Office-dokumenter ved at bruge en henvisning til en tragisk hændelse i Seoul, Sydkorea, for at lokke deres ofre.

Derudover opdagede forskere dokumenter med "lignende målretning", som sandsynligvis blev brugt til at udnytte den samme sårbarhed.

"Dokumentet downloadede en rich text file (RTF) fjernskabelon, som igen hentede eksternt HTML-indhold," sagde Googles TAG i sin sikkerhedsrådgivning. "Fordi Office gengiver dette HTML-indhold ved hjælp af Internet Explorer (IE), er denne teknik blevet brugt i vid udstrækning til at distribuere IE-udnyttelser via Office-filer siden 2017 (f.eks. CVE-2017-0199). Levering af IE-udnyttelser via denne vektor har den fordel, at det ikke kræver, at målet bruger Internet Explorer som sin standardbrowser, og heller ikke at kæde udnyttelsen med en EPM-sandbox-escape."

I de fleste tilfælde vil et inficeret dokument indeholde Mark-of-the-Web-sikkerhedsfunktionen. Brugere skal således manuelt deaktivere dokumentets beskyttede visning for at et angreb kan lykkes, så koden kan hente den eksterne RTF-skabelon.

Selvom Google TAG ikke endte med at gendanne en endelig nyttelast for den ondsindede kampagne, der blev tilskrevet denne APT-gruppe, bemærkede sikkerhedseksperter lignende implantater, der blev brugt af trusselsaktørerne, herunder BLUELIGHT, DOLPHIN og ROKRAT.

Tidsstempel: 9. December, 20229. December, 2022

Tidsstempel: August 9, 2021

Google advarer om, at Nordkoreas hackinggruppe udnytter Zero-Day-fejl til Internet Explorer

Genudgivet af Platon

Mere fra Sikkerhedsdetektiver

Arkansas University samarbejder om $2.2M AI Cybersecurity Project med et israelsk firma

Generelle bytes Bitcoin-hæveautomater står over for et databrud — 1.6 millioner stjålet

Google fjerner falske VPN-udvidelser, der inficerer 1.5 millioner Chrome-brugere

RubyGems giver mandat til multifaktorgodkendelse til populære projekter

Medieskaber Kodi står over for et stort brud

Interview med Paul Martini – iboss

Microsoft Defender tagger fejlagtigt legitime URL'er som ondsindede

Apples afslører 'Lockdown Mode' for at bekæmpe spyware

De 10 bedste antivirenprogram for PC-Gamer i 2021 (med Game Booster)

Om os

Vertikal søgning & Ai

perron

Stay Connected

Konto