Η Google προειδοποιεί ότι η Βόρεια Κορέα Hacking Group εκμεταλλεύεται το ελάττωμα Zero-Day για τον Internet Explorer

Δημοσιεύθηκε στις: Δεκέμβριος 9, 2022

Ομάδα ανάλυσης απειλών της Google (TAG) ανακοίνωσε την Τετάρτη τεχνικές λεπτομέρειες μιας ευπάθειας zero-day που χρησιμοποιείται από μια ομάδα προηγμένης επίμονης απειλής της Βόρειας Κορέας (APT).

Αυτό το ελάττωμα ανακαλύφθηκε στα τέλη Οκτωβρίου και είναι μια ευπάθεια Windows Scripting Languages ​​Remote Code Execution (RCE) που παρακολουθείται ως CVE-2022-41128. Το ελάττωμα zero-day επιτρέπει στους παράγοντες απειλών να εκμεταλλευτούν ένα σφάλμα του κινητήρα του Internet Explorer JScript μέσω κακόβουλου κώδικα που είναι ενσωματωμένος σε έγγραφα του Microsoft Office.

Η Microsoft αντιμετώπισε για πρώτη φορά την ευπάθεια κατά την κυκλοφορία της ενημέρωσης κώδικα τον περασμένο μήνα. Επηρεάζει τα Windows 7 έως 11 και τον Windows Server 2008 έως το 2022.

Σύμφωνα με το TAG της Google, οι υποστηριζόμενοι από την κυβέρνηση της Βόρειας Κορέας φορείς χρησιμοποίησαν αρχικά την ευπάθεια για να τη χρησιμοποιήσουν εναντίον των Νοτιοκορεατών χρηστών. Στη συνέχεια, οι φορείς της απειλής εισήγαγαν τον κακόβουλο κώδικα σε έγγραφα του Microsoft Office, χρησιμοποιώντας μια αναφορά σε ένα τραγικό περιστατικό στη Σεούλ της Νότιας Κορέας, για να δελεάσουν τα θύματά τους.

Επιπλέον, οι ερευνητές ανακάλυψαν έγγραφα με «παρόμοια στόχευση», που πιθανότατα χρησιμοποιήθηκαν για την εκμετάλλευση της ίδιας ευπάθειας.

"Το έγγραφο κατέβασε ένα απομακρυσμένο πρότυπο αρχείου εμπλουτισμένου κειμένου (RTF), το οποίο με τη σειρά του έλαβε περιεχόμενο απομακρυσμένου HTML", ανέφερε το TAG της Google στην παροχή συμβουλών ασφαλείας. «Επειδή το Office αποδίδει αυτό το περιεχόμενο HTML χρησιμοποιώντας τον Internet Explorer (IE), αυτή η τεχνική έχει χρησιμοποιηθεί ευρέως για τη διανομή εκμεταλλεύσεων IE μέσω αρχείων του Office από το 2017 (π.χ. CVE-2017-0199). Η παράδοση εκμεταλλεύσεων IE μέσω αυτού του διανύσματος έχει το πλεονέκτημα ότι δεν απαιτεί από τον στόχο να χρησιμοποιεί τον Internet Explorer ως το προεπιλεγμένο πρόγραμμα περιήγησής του, ούτε να αλυσοδένει το exploit με μια διαφυγή sandbox EPM."

Στις περισσότερες περιπτώσεις, ένα μολυσμένο έγγραφο θα περιλαμβάνει τη δυνατότητα ασφαλείας Mark-of-the-Web. Έτσι, οι χρήστες πρέπει να απενεργοποιήσουν με μη αυτόματο τρόπο την προστατευμένη προβολή του εγγράφου για να πετύχει μια επίθεση, ώστε ο κώδικας να μπορεί να ανακτήσει το απομακρυσμένο πρότυπο RTF.

Αν και το Google TAG δεν κατέληξε να ανακτήσει ένα τελικό ωφέλιμο φορτίο για την κακόβουλη καμπάνια που αποδίδεται σε αυτήν την ομάδα APT, οι ειδικοί ασφαλείας παρατήρησαν παρόμοια εμφυτεύματα που χρησιμοποιήθηκαν από τους παράγοντες απειλών, συμπεριλαμβανομένων των BLUELIGHT, DOLPHIN και ROKRAT.