colin thierry
Publicado el: 9 de diciembre de 2022
Grupo de análisis de amenazas (TAG) de Google anunció el miércoles detalles técnicos de una vulnerabilidad de día cero utilizada por un grupo de amenazas persistentes avanzadas (APT) de Corea del Norte.
Esta falla se descubrió a fines de octubre y es una vulnerabilidad de ejecución remota de código (RCE) de lenguajes de secuencias de comandos de Windows rastreada como CVE-2022-41128. La falla de día cero permite a los actores de amenazas explotar una falla del motor JScript de Internet Explorer a través de un código malicioso incrustado en los documentos de Microsoft Office.
Microsoft abordó la vulnerabilidad por primera vez en el lanzamiento de su parche el mes pasado. Afecta a Windows 7 a 11 y Windows Server 2008 a 2022.
Según el TAG de Google, los actores respaldados por el gobierno de Corea del Norte primero armaron la vulnerabilidad para usarla contra los usuarios de Corea del Sur. Luego, los actores de la amenaza inyectaron el código malicioso en los documentos de Microsoft Office, utilizando una referencia a un trágico incidente en Seúl, Corea del Sur, para atraer a sus víctimas.
Además, los investigadores descubrieron documentos con "objetivos similares", que probablemente se usaron para explotar la misma vulnerabilidad.
“El documento descargó una plantilla remota de archivo de texto enriquecido (RTF), que a su vez obtuvo contenido HTML remoto”, dijo TAG de Google en su aviso de seguridad. “Debido a que Office procesa este contenido HTML usando Internet Explorer (IE), esta técnica se ha utilizado ampliamente para distribuir vulnerabilidades de IE a través de archivos de Office desde 2017 (p. ej., CVE-2017-0199). Entregar exploits de IE a través de este vector tiene la ventaja de no requerir que el objetivo use Internet Explorer como su navegador predeterminado, ni encadenar el exploit con un escape de sandbox de EPM”.
En la mayoría de los casos, un documento infectado incluiría la función de seguridad Mark-of-the-Web. Por lo tanto, los usuarios deben deshabilitar manualmente la vista protegida del documento para que un ataque tenga éxito, de modo que el código pueda recuperar la plantilla RTF remota.
Aunque Google TAG no terminó de recuperar una carga útil final para la campaña maliciosa atribuida a este grupo APT, los expertos en seguridad notaron implantes similares utilizados por los actores de amenazas, incluidos BLUELIGHT, DOLPHIN y ROKRAT.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- Detectives de seguridad
- VPN
- seguridad del sitio web
- zephyrnet
