Google hoiatab, et Põhja-Korea häkkimisrühm kasutab Internet Exploreri jaoks nullpäeva viga

Avaldatud: Detsember 9, 2022

Google'i ohuanalüüsi rühm (TAG) teatas kolmapäeval Põhja-Korea arenenud püsiva ohu (APT) rühma kasutatud nullpäeva haavatavuse tehnilised üksikasjad.

See viga avastati oktoobri lõpus ja see on Windowsi skriptimiskeelte kaugkäitamise (RCE) haavatavus, mida jälgitakse kui CVE-2022-41128. Nullpäevane viga võimaldab ohus osalejatel kasutada Internet Exploreri JScripti mootori tõrget Microsoft Office'i dokumentidesse manustatud pahatahtliku koodi kaudu.

Microsoft tegeles haavatavusega esimest korda eelmisel kuul oma plaastri väljalaskmisel. See mõjutab Windows 7 kuni 11 ja Windows Server 2008 kuni 2022.

Google'i TAG-i andmetel relvastasid Põhja-Korea valitsuse toetatud osalejad haavatavuse esmalt, et kasutada seda Lõuna-Korea kasutajate vastu. Seejärel süstisid ähvardused pahatahtliku koodi Microsoft Office'i dokumentidesse, kasutades viidet traagilisele juhtumile Lõuna-Koreas Soulis, et meelitada oma ohvreid.

Lisaks avastasid teadlased sarnase sihtmärgiga dokumente, mida kasutati tõenäoliselt sama haavatavuse ärakasutamiseks.

"Dokumendis laaditi alla rikastekstifaili (RTF) kaugmall, mis omakorda tõi kaug-HTML-sisu," ütles Google'i TAG turvateatises. „Kuna Office renderdab selle HTML-i sisu Internet Exploreri (IE) abil, on seda tehnikat laialdaselt kasutatud IE äkiliste toimingute levitamiseks Office'i failide kaudu alates 2017. aastast (nt CVE-2017-0199). Selle vektori kaudu IE ärakasutamise eeliseks on see, et sihtmärk ei pea kasutama Internet Explorerit vaikebrauserina ega aheldama ärakasutamist EPM-i liivakasti põgenemisega.

Enamikul juhtudel sisaldab nakatunud dokument Mark-of-the-Web turvafunktsiooni. Seega peavad kasutajad dokumendi kaitstud vaate käsitsi keelama, et rünnak õnnestuks, et kood saaks hankida kaug-RTF-malli.

Kuigi Google TAG ei taastanud sellele APT-rühmale omistatud pahatahtliku kampaania lõplikku kasulikku koormust, märkasid turvaeksperdid sarnaseid implantaate, mida kasutasid ohus osalejad, sealhulgas BLUELIGHT, DOLPHIN ja ROKRAT.